El factor humano y la cultura de seguridad
Como consultora de diseño para la administración de servicios de TI, veo a otros con las habilidades técnicas necesarias para realizar implementaciones a nivel superficial. Desde mi punto de vista, sin embargo, puedo identificar tres grandes retos de la infraestructura de las aplicaciones de la empresa y de la seguridad de su red:
- La gente
- Entender los riesgos
- Entender el papel de la empresa en la seguridad
La gente
Todos deberían entender las políticas corporativas de seguridad de las TI. Tendrán que leer las políticas al ingresar a la organización y saber que la seguridad existe. Sin embargo, generalmente veo que muchos no saben sobre lo más básico, como evitar compartir sus contraseñas o publicar información de la empresa en sus redes sociales. Todos juegan un papel en la seguridad de la organización: el elemento que falta es la comunicación.
El enfoque necesita iniciar con un curso de inducción para todos los empleados. En vez de solo leer las políticas, deben entender completamente las consecuencias de sus acciones en cuanto a la seguridad. El personal de nuevo ingreso en el departamento de TI, como parte de su período de prueba de tres meses, debería recibir un extenso y continuo entrenamiento sobre todos los puntos conflictivos de la red, vulnerabilidades y acciones que deben ser tomadas en caso de que surja una amenaza. También deben entender el flujo de información a través del sistema y cómo cualquier información liberada o código alterado puede amenazar la seguridad.
“Mejorar el flujo de comunicación, usar los canales correctos con el personal y crear una cultura sobre la importancia de la seguridad, logra maravillas.”
Hacer que esto se entienda no tiene que ser ni muy difícil, pero tampoco muy fácil. Mejorar el flujo de comunicación, usar los canales correctos con el personal y crear una cultura sobre la importancia de la seguridad, logra maravillas.
Entender los riesgos
Algunas veces, las empresas no entienden su propia actitud hacia el riesgo, por lo que no lo evalúan bien. Industrias como los servicios financieros son, por naturaleza, enemigas del riesgo y tienden a ver la seguridad como una inversión valiosa. Algunas empresas nuevas, en contraste, se enfocan tanto en penetrar el mercado que prefieren arriesgarse. Quizá eso esté bien, pero ninguna institución debería enfocarse en la seguridad a ciegas.
“Las preocupaciones sobre la seguridad de la red, fluyen continuamente a través de la estrategia, diseño, transición y operaciones.”
La solución para este desafío es similar al primero: se reduce al entrenamiento y a la concientización mientras se mejora el conocimiento y habilidades del personal. Realice profundas evaluaciones de riesgos y busque soluciones automatizadas disponibles que lo ayuden a identificar los riesgos. Luego determine la cantidad apropiada de inversión deseable por su compañía en línea con la exigencia de resultados por parte de los accionistas.
Entender el papel de la empresa en la seguridad
El departamento de TI está ahí para entender, facilitar y defender los resultados de la empresa. Aun así, algunas veces hay una desconexión entre las exigencias del negocio y lo que hace el departamento de TI. No es para tanto que al departamento de TI le falte tecnología o la capacidad para reaccionar, ya que desde la perspectiva de negocios no hay un entendimiento pleno del impacto de los resultados que arroja la seguridad.
Por supuesto, es vital implementar soluciones automatizadas, como contraseñas que se reinicien automáticamente, firewall a nivel de aplicaciones, prevención, detección de intrusiones y cosas similares. Solo recuerde que todo esto son herramientas diseñadas por humanos y, por lo tanto, no son perfectas. Vaya más allá de las pruebas. Algunas organizaciones contratan a hackers para atacar, deliberadamente sus sistemas, demostrando la capacidad de los hackers y las fortalezas y debilidades de los sistemas. Los resultados son ingresados de vuelta al proceso circular de la evaluación de riesgos y de las iniciativas requeridas para mejorar la seguridad.
Los resultados de su negocio son impactados directamente por la calidad de la resistencia informática. Recomiendo ampliamente familiarizarse con la gobernabilidad y las mejores prácticas delineadas en diversos marcos de referencia sobre la administración de servicios de TI (ITSM) para fortalecer los requerimientos legales específicos. Busque en los recursos de los Objetivos de Control de Información y Tecnología Relacionada (COBIT) y en la Biblioteca de Infraestructura de Información y Tecnología (ITIL). Es especial porque los ciberataques prevalecen más en los ambientes actuales. El portafolio Resilia para las mejores prácticas es una estrategia para toda la organización, no solo para el departamento de TI, y se alinea con otras infraestructuras. Está enfocado en la adaptabilidad informática, así como en la respuesta y recuperación ante posibles ataques que impacten la información que necesita para hacer negocios.
“Vaya más allá de las pruebas. Algunas organizaciones contratan a hackers para atacar, deliberadamente, sus sistemas.”
Las preocupaciones sobre la seguridad, fluyen continuamente a través de la estrategia, diseño, transición y operaciones. Tenga a la gente correcta, los procesos y las tecnologías en el lugar adecuado y utilice prácticas estratégicas de mejoras continuas. Comprométase con la comunicación y los entrenamientos continuos. Estas tareas son clave para lo que debe hacerse.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes