¿Por qué se necesita una cultura de seguridad informática?
Por: David Montoya, Director de Canales, Paessler Latinoamérica
Las noticias sobre delitos cibernéticos, y diversas encuestas, muestran que al factor humano en la gestión de la seguridad de ti, a menudo se le da poca importancia. No siempre la infraestructura de ti es el factor más riesgoso que una política y una capacitación débil de los colaboradores puede desencadenar prácticas riesgosas.
Este hecho lleva directamente a la pregunta de ¿cómo se puede desarrollar y mantener una cultura integral de seguridad de TI dentro de una organización? Algunos aspectos clave por considerar:
1.TENER EL APOYO DE LA ALTA GERENCIA
La alta gerencia, necesita apoyar y facilitar los programas para generar la cultura de seguridad informática, y debe insistir en el cumplimiento de los lineamientos de seguridad.
2. CONFIGURAR LOS LINEAMIENTOS DE SEGURIDAD
La definición de roles y responsabilidades de todas las partes interesadas, proporciona la base para un comportamiento conforme con la seguridad de TI.
3. CONCIENCIA SOBRE SEGURIDAD TI
La conciencia sobre seguridad de TI, es parte esencial de la cultura. Sólo si las personas conocen los riesgos y las consecuencias de la interacción con los sistemas de TI, se puede reducir el riesgo general de seguridad de TI. Los lineamientos de seguridad comunicados y actualizados aumentan la conciencia de seguridad de TI en la organización.
4. ENTRENAMIENTO EN SEGURIDAD TI
La herramienta más efectiva es la capacitación en seguridad de TI, que desarrolle la cultura de seguridad de TI en una organización. Para una cultura saludable, la capacitación adecuada de los miembros individuales de la organización debe realizarse regularmente, simplemente porque el marco de seguridad de TI cambia continuamente. Y como siempre, una participación más amplia tiene el mayor impacto.
5. ANALIZAR RIESGOS DE SEGURIDAD TI
Analizar y comparar el riesgo de seguridad, por supuesto ayuda a estimar el daño potencial, pero también promueve una cultura de seguridad de TI. Como se mencionó, la seguridad de TI es un proceso: nunca se detiene y está en constante cambio. El método PDCA (Plan Do Check Act) se puede utilizar en garantizar una adaptación constante del marco, para una cultura de seguridad de TI sana.
PLAN
En primer lugar, se requiere un análisis de la situación actual. Y también, la definición del estado objetivo identificado, para delinear medidas. No es suficiente, tan solo verificar los lineamientos de seguridad. También se deben incluir entrevistas, observaciones mediciones del comporta miento para obtener una imagen real de la cultura actual de seguridad de TI. Dependiendo de la diferencia entre el estado actual y el objetivo, se deberán aplicar diferentes medidas.
DO
En esta fase, las medidas definidas deberán realizarse. Una comunicación clara y proactiva, y el apoyo de la alta dirección, son muy importantes.
CHECK
Esta es la fase de control de las medidas implementadas. Para identificar la situación actual, es importante verificar si se alcanzó el objetivo utilizando los mismos métodos que en la fase de planificación.
ACT
En la última fase, los cambios realizados con éxito, se deben comunicar, y compartir los aprendizajes. Esta fase también permite correcciones menores a la implementación. Después de este listado teórico, veamos un ejemplo:
Las organizaciones enfrentan un riesgo típico de protección de datos cuando los empleados trabajan desde sus computadoras portátiles en forma remota, por ejemplo, a bordo de un avión. Los vecinos, llamados hackers visuales, pueden obtener fácilmente información que es muy confidencial. ¿Cómo enfrentar este riesgo con el método PDCA?
En la fase Plan del PDCA, este riesgo potencial se descubrió durante una entrevista. El objetivo: que no haya hackeo visual. No se aceptará una directriz que indique al empleado que no trabaje mientras está a bordo de un avión, ya que la prioridad del empleado es realizar el trabajo. Por lo tanto, una medida más exitosa sería aplicar un filtro de privacidad para la pantalla de cada computadora portátil.
En la fase Do, el departamento de TI puede incluir el filtro de privacidad en la lista de equipamiento estándar para nuevos empleados.
La fase Check debe incluir verificación: si todas las computadoras portátiles existentes ya están equipadas con un filtro de privacidad y si el filtro se incluyó en la lista de verificación de equipos de TI para las nuevas computadoras portátiles.
No sólo se reduce el riesgo automáticamente de esta manera, sino que además se ve facilitado por una comunicación clara durante la fase Act. Además, el filtro de privacidad hace que los empleados sean más conscientes de los hackers visuales y, por lo tanto, fortalece la cultura de seguridad de TI.