Seguridad Social
Uno de mis clientes, descubrió recientemente que un competidor había entrado en su red. Por un largo periodo, personas externas tuvieron libre acceso a su información sobre bienes raíces. Fue todo un impacto. Los miembros de la empresa del cliente pensaban que ellos habían hecho las cosas correctamente, invirtieron tiempo y dinero y pensaron en los perímetros de seguridad, herramientas y procesos. Desafortunadamente, descuidaron el aspecto humano de la seguridad. Me refiero a la ingeniería social, la cual es el truco que los hackers utilizan para entrar en las redes a través de la manipulación inocente y del impulso natural del ser humano de confiar. Es una de las tácticas más comunes que se utilizan para ingresar a las redes.
“Por un largo periodo, personas externas tuvieron libre acceso a su información sobre bienes raíces.”
Pareciera más probable que alguien dentro de la organización haya facilitado el acceso al competidor, de una forma difícil de detectar y mucho más complicada de probar. Después de todo, mi cliente cerró esa brecha en sus procesos y tuvo algunos problemas con el personal, pero aprendió una lección clave de la manera más dura. Cuando de seguridad se trata, nunca se puede estar demasiado preparado. Tendemos a ver la seguridad a través de los lentes de la tecnología y de los procesos, pero al hacerlo, fácilmente pasamos por alto el papel primordial del factor humano en la cadena de valor de la seguridad. ¿Cuáles son las mejores maneras para deshacerse de este problema?
- Concientización. La concientización es la medida número uno en la defensa. Asegúrese que todos sus empleados entiendas las amenazas de la ingeniería social. También es importante que se mantenga actualizado de las cambiantes técnicas de la ingeniería social y sus tendencias. Los criminales se reinventan constantemente.
- Involucre a toda la empresa. La seguridad no es solo responsabilidad del personal de TI. Una campaña de concientización sobre seguridad debe incluir a los ejecutivos. Estos autodenominados luditas, más adelante pueden ser su vulnerabilidad y generar peligro.
- Mantenga una estrategia disciplinada. Si no cuenta con ella, encuentre una. Siempre les pido a mis clientes que inicien con los cuatro pasos de la ciberseguridad, como se esboza en el manual de Deloitte de 2014, Ciberseguridad: Empoderando al CIO, el cual los guía rumbo a un acercamiento más disciplinado y estructurado.
En general, lo más importante de los cuatro pasos del manual incluye:
- Estar preparado. Esta es la estrategia para lograr “la seguridad a través de la vigilancia y la flexibilidad”. También incluye el establecimiento de un proceso de monitoreo, planeación y prueba, respuesta y de seguros.
- Fijar estándares altos. Esta es la estrategia para lograr capacidades de seguridad por diseño”. Involucra el establecimiento de una estrategia basada en los riesgos y alineada con el negocio. Identifique y proteja los activos valiosos y ajuste la arquitectura para garantizar que la estrategia de seguridad pueda ser alcanzada.
- Cubrir lo básico de manera correcta. Este es el paso de “seguridad por control”. Incluye instalar protocolos de acceso e instalar parches frecuentes. Además, administre los archivos vulnerables, asegure los sistemas esenciales, elabore pruebas periódicas y lleve a cabo análisis de causas originales.
- Establecer protección personal. Deloitte describe esto como “seguridad a través del comportamiento”, que es cultivar una continua concientización de la seguridad, liderar desde la cima y tener claras las consecuencias de una mala conducta. También motive la adopción de las prácticas de seguridad en casa.
El manual de Deloitte está basado en la premisa de que los ejecutivos y miembros del consejo deben tener “la camiseta puesta”, en todo lo relacionado con la ciberseguridad. Los funcionarios corporativos son tan responsables con los accionistas como lo es el CIO.
Un comentario final: Los invito a meditar sobre un elemento adicional del factor humano en lo que se refiere a la información y seguridad de la red. Un mal estilo de administración puede generar empleados descontentos. Esta persona puede transformarse rápidamente, de ser un trabajador leal a ser una amenaza para la seguridad de la información. Igualmente, un empleado mal pagado y poco apreciado puede caer en la tentación y entregar información en un intento de congraciarse con el competidor que más le pague. Mi punto es que, al ser un buen líder y administrador del personal y al ser bueno con sus empleados, estará contribuyendo con un elemento clave para la información holística y la estrategia de seguridad de redes.
Autor: Scott Stewart
Parte del libro «Asegurando su infraestructura de red y aplicaciones» de Fortinet.
Scott Stewart es director de la Práctica de Asesoría en Tecnología de Deloitte, enfocado en asesorar a CIOs, estrategias de TI y estrategias de suministro. Con base en Australia, Scott ha ofrecido servicios de consultoría de TI a diversas organizaciones multinacionales de la Región Asia-Pacífico, Medio Oriente y los Estados Unidos. Scott es un experimentado ejecutivo TIC (Tecnologías para la Comunicación e Informática) que por muchos años se ha desempeñado como Director de Información en el sector de servicios financieros. Es también un reconocido analista senior de la industria y director de investigación.
Newsletter Semanal
Lo más relevante de ciberseguridad y tecnología.
Síguenos en las redes