No existe una solución mágica que venga lista para protegernos, por lo que es muy importante contar con gente capacitada y que conozca el negocio, para sacar el mayor provecho a las herramientas en las cuales se invierte.
Muchas veces, por falta de una buena planificación en el proyecto o por querer apurar las cosas, la configuración de una herramienta queda implementada tal como viene de fábrica. Si bien probablemente de esta forma funcionará, no se está aprovechando todo su potencial. Además, difícilmente se ajuste a las necesidades de todos los usuarios, por lo que es probable que muchos terminen teniendo problemas.
Tampoco hay que irse al otro extremo e implementar soluciones imposibles de administrar. Demasiadas configuraciones y excesiva personalización hacen que se terminen teniendo más excepciones que reglas o, peor aún, demasiados falsos positivos.
Esto es muy común a la hora de implementar sistemas de detección de intrusos (IDS), antivirus y otras herramientas de detección temprana. Si generan muchas excepciones o falsos positivos, algo definitivamente anda mal y a la larga la herramienta pierde credibilidad. Si todos los días el log se llena de alertas imposibles de analizar, el día que suceda un incidente, probablemente no se le preste atención o ni siquiera sea advertido.
Por otro lado, cuanto más cerrada es una solución, más difícil es de implementar, mayor es el impacto y mayor la resistencia. Aquí tenemos un ejemplo que es clarísimo: ¡las contraseñas!
Una contraseña segura debe tener letras, números, símbolos y más de 15 caracteres; además, se debe cambiar cada dos meses y no se pueden repetir las últimas 10 claves. Siguiendo estos lineamientos, una contraseña será segura… y probablemente va a terminar pegada en un papelito en el monitor del usuario.
Si bien es necesario utilizar claves seguras, más importante es que las personas las recuerden, por lo que, además de implementar una política de contraseñas, también hay que instruir a los usuarios en métodos de creación de combinaciones (que sean fáciles de recordar) y en el uso de sistemas de gestión de contraseñas.
Otro ejemplo son los procesos largos y burocráticos, sobre todo para conseguir aprobaciones. Si conseguir la autorización para la apertura de un puerto o para una determinada conexión resulta tedioso y burocrática, termina siendo más fácil para el usuario enviar la información desde su cuenta o equipo personal y se pierde totalmente el control sobre la fuga de información. La mayoría optará por llevarla en sus equipos personales, utilizar servicios de proxys para evadir los controles o cualquier otra artimaña antes de pasar por un proceso engorroso.
Hoy en día, la mayoría de la gente acepta sin leer las condiciones y permisos que otorga, se conecta a redes Wi-Fi con solo apretar un botón y guarda las contraseñas en todos los dispositivos de manera que estén siempre sincronizadas. ¿Por qué? Porque esto es fácil y, sobre todo, cómodo.
Si bien los que nos dedicamos a la seguridad de la información intentamos cambiar estos hábitos en los usuarios, no podemos obligarlos a que se involucren en temas que no les atraen o les resultan complicados.
A la hora de comunicar, es importante ir al grano y ser específico. A los usuarios no les interesa leer una política de seguridad de 20 hojas ni todas las ventajas que tiene el último firewall que se instaló.
La seguridad debe ser una solución y no un nuevo problema. Charlas cortas, concretas, guías con buenas prácticas que sean fáciles de leer y tengan la información necesaria serán mucho más atractivas y comunicarán mejor el mensaje.
Antes de aplicar cualquier medida de seguridad, es importante entender el negocio y la información crítica que se debe proteger. Esto significa desde clasificarla hasta conocer el alcance de una medida de seguridad.
En el caso de una empresa de medicina, no es lo mismo cuidar el historial médico de un paciente que la lista de cumpleaños de los empleados. Muchas empresas gastan recursos, tiempo y esfuerzo en proteger información irrelevante, mientas dejan afuera otra más valiosa por no haberla tenido en cuenta.
Es importante realizar auditorías que revisen qué información se está resguardando, ya que muchas veces se gastan gigas de cintas y espacio de almacenamiento (que se traduce en un costo de infraestructura) en respaldar archivos personales que no son representativos para el negocio.
Si no se releva qué información es crítica para la organización… ¿cómo saber qué se debe proteger?
La clasificación es el primer paso para entender qué datos son críticos y cómo deben protegerse. Un error común respecto a la clasificación de la información es no determinar el dueño de los datos. Muchas veces en las empresas se piensa que el departamento de seguridad o de sistemas es el responsable de la seguridad de los datos, cuando el verdadero responsable es el dueño de esa información. Por ejemplo, el gerente de RR. HH. es responsable de la información personal de los empleados, sus análisis de desempeño, legajos etc. De la misma manera, el gerente de administración es responsable de la información contable, el comercial de los contratos con clientes, etc.
El dueño de la información es quien debe clasificarla e indicar qué necesita proteger; el área de seguridad debe proveerle las herramientas para proteger esa información según los requerimientos.
Otro problema recurrente es creer que la seguridad es un producto y no un proceso. Sin embargo, hoy en día no se puede pensar en la seguridad como algo estático, como un problema que se soluciona configurando un firewall o un antivirus y dejándolo ahí para que haga su trabajo.
En una época tan dinámica, donde todos los días aparecen nuevas amenazas, es importante entender a la seguridad como un proceso de mejora continua. Para esto hay que realizar análisis de riesgos y auditorías periódicas, evaluar continuamente los resultados y establecer objetivos claros y medibles.
Por último, implementar normas o estándares solo para que figuren en los papeles es la peor inversión.
Toda norma tiene un alcance (también conocido como scope), y determinar ese alcance es tan importante como la norma en sí. Debe focalizarse en negocio, en los procesos que realmente son el corazón de la compañía y para los cuales resulta útil una certificación. Implementar una norma u obtener una certificación no es algo sencillo ni económico; por lo tanto, si se invierte tiempo y dinero en alcanzarla, que sea para que realmente contribuya a cuidar la información y sea un valor agregado al negocio.
Con todo el esfuerzo que requirió lograr que las empresas inviertan en seguridad, ahora es nuestra responsabilidad utilizar esa inversión de manera efectiva y cuidar los activos importantes.
FUENTE:
http://www.welivesecurity.com/la-es/2017/03/14/errores-de-seguridad-empresas/