La información efectiva en seguridad

La información efectiva en seguridad requiere una educación a fondo del usuario

Publicado el: 17 de septiembre de 2018|Categorías: Artículos|Etiquetas: El factor humano y una cultura de la seguridad, Libro Fortinet|

Mi máximo reto al asegurar nuestra infraestructura de redes y aplicaciones es determinar cuáles son los límites que tienen las infraestructuras actuales. Desde el punto de vista organizacional, es muy importante garantizar la seguridad y control de la información, en la medida en que nos movamos de mantener todo en las instalaciones a convertir parte de la información en una nube, ejecutar algunas aplicaciones o almacenar información en la nube. Esto es especialmente importante porque estamos protegiendo información regulada sobre la salud de nuestros pacientes y miembros.
Es imperativo tener los dispositivos adecuados de red y las soluciones de seguridad de las aplicaciones en el lugar correcto. Si no sabe lo que está pasando dentro de su red, no tiene esperanzas de estar al día. Debe considerar software para detección y prevención de intrusiones, e incluso, para algunos casos, tecnologías que revisen el tráfico de este a oeste. Tener firewalls perimetrales y un buen antivirus es extremadamente importante, pero otra prioridad es asegurar que el eslabón más débil esté entrenado. Por eslabón más débil me refiero al aspecto humano: usted, yo o cualquiera en la organización.

“Es imperativo tener los dispositivos adecuados de red y las soluciones de seguridad de las aplicaciones en el lugar correcto.”

Capacitar al elemento humano de forma efectiva, es vital, porque con frecuencia será por donde el delincuente intentará entrar. La seguridad del perímetro de la red ha sido bastante fortalecida, por lo que los hackers intentarán sobre pasarla usando técnicas como el phishing o la ingeniería social. Es inaceptable para nosotros, como profesionales de la seguridad, encoger los hombros y decir que el usuario no está capacitado. Nuestro trabajo es asegurar que tengan esa preparación. Así como tenemos que asegurarnos de que los firewalls estén configurados correctamente, tenemos que asegurarnos que todos nuestros empleados entiendan cómo evitar situaciones de riesgo o cómo alertar a las personas correctas cuando algo sospechoso esté pasando.

“Recomiendo implementar entrenamientos continuos a los usuarios que incluyan temas que ellos enfrentan en su vida diaria.”

Recomiendo implementar entrenamientos continuos a los usuarios que incluyan temas que ellos enfrentan en su vida diaria. Enviamos nuestro boletín informativo que describe cómo los usuarios pueden protegerse a ellos mismos mientras compran en línea. Por ejemplo, justo antes que inicie la temporada de Navidad. También hemos realizado exitosos almuerzos de trabajo en los que montamos un laboratorio y fingimos que estamos en una zona con cobertura WiFi en una cafetería, luego les mostramos a los asistentes lo fácil que es conseguir acceso no autorizado a un teléfono o computadora dentro de ese ambiente. Recientemente ingresé a una nueva empresa y estoy empezando a ver los frutos de nuestros esfuerzos aquí. Pero una manera en la que supe que estábamos haciendo la diferencia en mi último empleo fue cuando comencé a recibir e-mails de diferentes usuarios, unas cuatro o cinco veces al día, en los que me decían: “Oye, me llegó este e-mail sospechoso”. Eso me mostró que estábamos empezando a tener algo de éxito.
Al evaluar cuidadosamente los retos únicos que conllevan las soluciones en la nube, asegurarse de que tiene desplegada la infraestructura para seguridad de redes adecuada, y proactivamente capacita a sus usuarios con respecto a las amenazas que evolucionan, puede mover la aguja hacia una seguridad de la información preventiva. No requiere poco esfuerzo, pero logra un impacto significativo para bien.

Autor: Matthew Witten
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.

Matthew Witten ha desarrollado y dirigido numerosos equipos de seguridad de la información, respuesta ante incidentes y pruebas de penetración. Actualmente es el director de seguridad de la información en Martin’s Point Health Care. Matthew fue el CISO para el Gobierno Metropolitano de Louisville y la Universidad de Louisville. Cuenta con una amplia experiencia en seguridad de la información y co-desarrolló un programa de amplio uso de respuesta ante incidentes y riesgos. Tiene una maestría en administración de empresas, así como certificados en CISSP, CISA y CRISC.