Por cada violación de los datos que salen en los titulares, hay decenas de cientos que no son reportadas por los medios de comunicación, no declarada por las empresas o, peor aún, pasan desapercibida.
La erupción de la publicidad negativa en torno a organizaciones que tienen experiencia con los ataques informáticos parece ser un motivador suficiente para instar a los líderes empresariales en reforzar sus programas de seguridad con el fin de evitar que sean el siguiente titular principal. Si eso no es razón suficiente, la letanía de las regulaciones impuestas a ciertas industrias debería ser suficiente, ¿no? Quiero decir, ¿quién quiere ser víctima de una violación de datos, los riesgos financieros, legales y de reputación?
En mi experiencia he encontrado que los líderes corporativos en general, quieren operar de forma segura, sin embargo, a menudo toman decisiones pobres o sin educación que contribuyen a una postura de seguridad mediocre.
Tome cualquier artículo sobre una violación de datos recientes y es probable que leer acerca de las razones técnicas que los atacantes fueron capaces de poner en peligro la red. Por ejemplo, las grandes cadenas se han roto debido a los atacantes comprometer un punto de acceso inalámbrico inseguros en sus tiendas que estaban conectados a su ambiente de procesamiento de pagos. Lo que no se lee es acerca de la causa raíz del problema. ¿Por qué hubo un punto de acceso inseguro en el primer lugar?
En este artículo, vamos a ver 5 razones no técnicos por las cuales las organizaciones son vulneradas.
1. No aceptación de Seguridad como parte del proceso del Core Business
Para la mayoría de las organizaciones, las funciones de gestión de la seguridad están en la periferia de la estructura de las organizaciones o enterrados en lo profundo de TI. Para el negocio, la seguridad es a menudo un post-pensamiento y por lo general impuesta a la organización en forma de regulaciones tales como PCI, HIPAA y GLBA, aún así el cumplimiento es irregular en el mejor de los casos. Seamos realistas, la seguridad no contribuyen directamente en lo profundo de las organizaciones. De hecho, es en la superficie, puede parecer un impacto negativo en el fondo aumentando el coste de los proyectos y debido a la dificultad para calcular el retorno de la inversión.
Entonces, ¿por qué tenemos esta desconexión? En pocas palabras, la seguridad de la información no ha sido traída desde la periferia de la estructura organizativa, vamos a echar un vistazo al pasado no muy lejano, hace diez a quince años TI se encontraban en un lugar muy similar en la evolución de la “aceptación de la organización”. Los líderes organizacionales no entendían a la tecnología y por lo tanto no pudo haberse sabido gestionar adecuadamente o integrar efectivamente en su organización. En muchas organizaciones se dejó funcionar a TI por sí mismo, no fue incluido en la planificación estratégica, ni en las iniciativas y pudo haber sido considerada en algunas organizaciones como un “mal necesario”. No hace falta decir que apoyo a la gestión, los recursos y los presupuestos eran difíciles de obtener, si no inexistente. Hoy en día, en la mayoría de las organizaciones ha sido aceptado en el núcleo del negocio debido a la necesidad de las organizaciones para seguir siendo competitivos y ejecutar de manera eficiente. Afortunadamente, los departamentos de TI están ahora dirigidos por líderes con pensamiento de negocios, no de “tecnología”.
Entonces, ¿qué pasa con todo esto hablar de TI? ¿No es este blog sobre la seguridad? La respuesta es simple: la seguridad es hoy donde estaba TI hace 10-15 años. Todas las cosas que TI se enfrentó en el pasado las padecen, hoy en día, las áreas de seguridad de la información, como la falta de comprensión de la seguridad por el líder de la organización y la falta de integración de la seguridad en el proceso básico de gestión de negocios. Hasta que las organizaciones acepten la seguridad como una parte integral de la organización está áreas les toca remar contra la corriente.
2. Responsabilidades equivocadas
La lamentable percepción es que con la existencia de un Gerente de seguridad, la seguridad ya no es preocupación de nadie más. No sé por qué esto es así; lo último que supe es que en ISO todavía era responsable de desarrollar y mantener un presupuesto, a pesar de que tenía un director financiero y el departamento de contabilidad. En las organizaciones donde la seguridad la información está centralizada, pero las responsabilidades no están bien definidas, el negocio continuará con las iniciativas y objetivos del negocio, y están a lespera de que seguridad de la información intervenga (con la esperanza de que puede pasar por debajo del radar) o pasar la pelota a seguridad con la finalidad de conseguir la “aprobación” justo antes del pase a producción. Sin embargo, cuando seguridad interviene, a menudo es demasiado tarde en el ciclo de vida del proyecto o los objetivos de negocio triunfan sobre todos los riesgos identificados que hacen los procesos de seguridad ineficaces y parece ser un obstáculo. Seguridad debe ser preocupación de todos y no sólo del CISO.
3. Carencia de responsabilidades
Cuando se trata de nuestros puestos de trabajo, todos estamos responsabilizados por algo. Por ejemplo, los lideres de proyectos que garanticen que se completen a tiempo y dentro del presupuesto. Nuestra eficacia o ineficacia, a menudo se traduce en nuestras evaluaciones de desempeño que tienen un interés creado en que queda un trabajo remunerado y la obtención de algún tipo de beneficio económico en forma de un aumento de sueldo o bonificación. Mi punto es, si un empleado sabe que están siendo responsabilizados por algo, usted puede apostar que va a cumplir con ello, especialmente si afecta a su situación laboral o posibles ganancias futuras. Del mismo modo ocurre con la seguridad de la información, sin embargo, los empleados rara vez son responsables de su participación en la seguridad de la organización. Supongo que la seguridad podría ser categorizados en “Otras tareas asignadas” en la descripción del trabajo de un empleado, pero realmente lo que se necesita es explicar en detalle y de forma clara esas tareas.
Los líderes de negocio y seguridad deben identificar las funciones y responsabilidades de seguridad de la información para cada nivel de los empleados en tu organización. Estas responsabilidades deben estar incluidas en la descripción del trabajo de cada empleado y se traducen en esas responsabilidades con el proceso de evaluación del desempeño. ¿Qué es lo que acabamos de crear haciendo esto? Hemos creado un ambiente donde las expectativas de seguridad de la información están claramente definidas y medidas, en última instancia conduce a una cultura de seguridad más consciente.
4. Conflictos de Interés
Las organizaciones que ponen la responsabilidad de la gestión de la seguridad en manos de las personas de TI son el equivalente de dejar de guardia a un zorro del gallinero. No estoy diciendo que la gente es maliciosa y quieren que tu organización sea vulnerada, pero se ponen en una situación precaria en la que a menudo surgen conflictos de prioridades y algo tiene que sacrificarse. Por ejemplo, al principio de mi carrera como gerente de TI me encargaba principalmente de la obtención e implantación de sistemas operacionales para la empresa por lo que la organización puede comenzar a reconocer el retorno de la inversión. La presión de la empresa era a menudo abrumadora y plazos de los proyectos eran por lo general muy agresivos. Sin embargo, también era el encargado no oficial de la gestión de seguridad en la infraestructura de TI. Cuando se me ponía en la posición de conseguir un sistema en el mercado o me colocaba mi camisa de TI y debía asegurar que los riesgos fueron identificados y mitigados, este último era lo que a menudo sacrificaba. Sé que es un hecho que no fui el único que se coloca en situación incómoda e injusta. Hoy en día, como consultor de seguridad, lo veo más de lo que les gustaría admitir.
Amigos, dejen que la gente de TI haga lo que son buenos. Involúcralos en el proceso de seguridad, pero no los ponga en la situación injusta de tener que elegir entre la entrega de una solución en el tiempo sobre la garantía de que está seguro. Estas expectativas deben ser fijadas por un gestor de riesgos CISO, CSO o como lo quieras llamar. Ese rol no debe informar a través de TI, donde hay un potencial de conflicto de prioridades. Al igual que los auditores a los cuales se les necesita garantizar la independencia, los profesionales de la seguridad no deberían tener que preocuparse por ser injustamente influenciado por su jefe porque él/ella tiene un interés personal en la entrega de un proyecto a tiempo o dentro del presupuesto.
5. La falta de gobernabilidad
La mayoría de las organizaciones de tamaño medio o grande tiene un comité de auditoría, especialmente las empresas que cotizan en bolsa. Este comité se compone generalmente de miembros de la junta que tienen la responsabilidad de revisar y asegurar la exactitud de las declaraciones financieras de las organizaciones. Su objetivo no es poner realmente los estados financieros en conjunto, sino más bien asegurarse de que los controles establecidos para evitar errores u omisiones son eficaces y que la administración está tomando las medidas adecuadas para identificar y mitigar los riesgos continuamente.
Por lo tanto, si tenemos este proceso en todo el riesgo de falsear las finanzas, ¿por qué no contamos con un proceso similar para la gestión de los riesgos de las brechas de seguridad?Ver Comité de Seguridad de la Información
Un proceso de gobierno se asegura de que los tomadores de decisiones de la organización están “en sintonía” con los riesgos de seguridad identificados y la eficacia o falta de los controles implementados. Esto les da a las personas la oportunidad de hacer preguntas, comprender los riesgos y volver a priorizar los riesgos. Las organizaciones que carecen de la gobernabilidad sobre la gestión de la seguridad de la información omiten una responsabilidad muy importante y poderosa de la dirección ejecutiva y, en algunos casos, el consejo de administración, para garantizar la confidencial de la seguridad de su información.
Fuente: SecurityStreet
Carlos Solís Salazar
Fuente: http://www.solis.com.ve