Ahora que aprendimos que hay que tener en cuenta a los diferentes perfiles de usuarios, ¡no les compliquemos la vida! En este artículo veremos algunos ejemplos de errores que cometen las empresas al gestionar su seguridad, los cuales generan molestia a los usuarios de una red. ¡No los repitas y evita darles un dolor de cabeza!
#1 Aplican soluciones con configuraciones por defecto para todos, olvidando las necesidades particulares
Si sus necesidades son diferentes, y por ende debemos tener en cuenta estas diferencias, tampoco podemos aplicar las soluciones o herramientas por default. Correr el antivirus en “piloto automático”, no personalizar los filtros de correo o un sistema de detección de intrusos va a resultar en dolores de cabeza.
No existe una solución mágica que venga lista para cuidarnos, por lo que es muy importante contar con gente capacitada que pueda sacar el mayor provecho a las herramientas que se van a implementar.
La seguridad debe ser una solución y no un nuevo problema
Muchas veces, por falta de una buena planificación en el proyecto o por querer apurar las cosas, la configuración de una herramienta queda implementada tal como viene de fábrica. Si bien probablemente de esta forma funcionará, no se está aprovechando todo su potencial.
Además, difícilmente se ajuste a las necesidades de todos los usuarios, por lo que es probable que muchos terminen teniendo problemas.
#2 El otro extremo: aplican una excesiva personalización que complica la administración
Tampoco hay que irse al otro extremo e implementar soluciones imposibles de administrar. Demasiadas configuraciones y excesiva personalización hacen que se terminen teniendo más excepciones que reglas o, peor aún, demasiados falsos positivos.
Esto es muy común a la hora de implementar sistemas de detección de intrusos (IDS), antivirus y otras herramientas de detección temprana. Si generan muchas excepciones o falsos positivos, algo definitivamente anda mal y a la larga la herramienta pierde credibilidad. Si todos los días el log se llena de alertas imposibles de analizar, el día que suceda un incidente, probablemente no se le preste atención o ni siquiera sea advertido. De esta forma, la administración será tan tediosa que resultará poco útil.
#3 Exigen seguridad sin proporcionar las herramientas para alcanzarla
Por otro lado, cuanto más cerrada es una solución, más difícil es de implementar, mayor es el impacto y mayor la resistencia. Aquí tenemos un ejemplo que es clarísimo: ¡las contraseñas!
Una contraseña segura debe tener letras, números, símbolos y más de 15 caracteres; además, se debe cambiar cada dos meses y no se pueden repetir las últimas 10 claves. Siguiendo estos lineamientos, una contraseña será segura… y probablemente va a terminar pegada en un papelito en el monitor del usuario.
Si bien es necesario utilizar claves seguras, más importante es que las personas las recuerden, por lo que, además de implementar una política de contraseñas, también hay que instruir a los usuarios en métodos de creación de combinaciones que sean fáciles de recordar y en el uso de sistemas de gestión de contraseñas.
#4 Crean procesos demasiado engorrosos
Otro ejemplo son los procesos largos y burocráticos, sobre todo para conseguir aprobaciones. Si conseguir la autorización para la apertura de un puerto o para una determinada conexión resulta tedioso y burocrático, termina siendo más fácil para el usuario enviar la información desde su cuenta o equipo personal y se pierde totalmente el control. La mayoría optará por llevarla en sus equipos personales, utilizar servicios de proxys para evadir los controles o cualquier otra artimaña antes de pasar por un proceso engorroso.
#5 No son específicos al hablar de seguridad
Hoy en día, la mayoría de la gente acepta sin leer las condiciones y permisos que otorga, se conecta a redes Wi-Fi con solo apretar un botón y guarda las contraseñas en todos los dispositivos de manera que estén siempre sincronizadas. ¿Por qué? Porque esto es fácil y, sobre todo, cómodo.
Si bien los que nos dedicamos a la seguridad de la información intentamos cambiar estos hábitos en los usuarios, no podemos obligarlos a que se involucren en temas que no les atraen o les resultan complicados.
A la hora de comunicar, es importante ir al grano y ser específico. A los usuarios no les interesa leer una política de seguridad de 20 hojas ni todas las ventajas que tiene el último firewall que se instaló.
La seguridad debe ser una solución y no un nuevo problema. Charlas cortas, concretas, guías con buenas prácticas que sean fáciles de leer y tengan la información necesaria serán mucho más atractivas y comunicarán mejor el mensaje.
#6 No clasifican la información y pierden el foco de lo que se está protegiendo
Antes de aplicar cualquier medida de seguridad, es importante entender el negocio y la información crítica que se debe proteger. Esto significa desde clasificarla hasta conocer el alcance de una medida de seguridad.
En el caso de una empresa de medicina, no es lo mismo cuidar el historial médico de un paciente que la lista de cumpleaños de los empleados. Muchas empresas gastan recursos, tiempo y esfuerzo en proteger información irrelevante, mientas dejan afuera otra más valiosa por no haberla tenido en cuenta.
Es importante realizar auditorías que revisen qué información se está resguardando, ya que muchas veces se gastan gigas de cintas y espacio de almacenamiento (que se traduce en un costo de infraestructura) en respaldar archivos personales que no son representativos para el negocio, o se dejan afuera bases enteras de información por no tener conocimiento de las mismas.
Si no se releva qué información es crítica para la organización… ¿cómo saber qué se debe proteger?
La clasificación es el primer paso para entender qué datos son críticos y cómo deben protegerse.
Un error común respecto a la clasificación de la información es no determinar el dueño de los datos. Muchas veces en las empresas se piensa que el departamento de seguridad o de sistemas es el responsable de la seguridad de los datos, cuando el verdadero responsable es el dueño de esa información. Por ejemplo, el gerente de RR. HH. es responsable de la información personal de los empleados, sus análisis de desempeño, legajos etc. De la misma manera, el gerente de administración es responsable de la información contable, el comercial de los contratos con clientes, etc.
El dueño de la información es quien debe clasificarla e indicar qué necesita proteger; el área de seguridad debe proveerle las herramientas para proteger esa información según los requerimientos.
#7 No ven a la seguridad como un proceso
Otro problema recurrente es creer que la seguridad es un producto y no un proceso. Sin embargo, hoy en día no se puede pensar en la seguridad como algo estático, como un problema que se soluciona configurando un firewall o un antivirus y dejándolo ahí para que haga su trabajo.
En una época tan dinámica, donde todos los días aparecen nuevas amenazas, es importante entender a la seguridad como un proceso de mejora continua. Para esto hay que realizar análisis de riesgos y auditorías periódicas, evaluar continuamente los resultados y establecer objetivos claros y medibles.
#8 Implementan estándares sin conocer realmente sus alcances
Por último, implementar normas o estándares solo para que figuren en los papeles es la peor inversión.
Toda norma tiene un alcance (también conocido como scope), y determinar ese alcance es tan importante como la norma en sí. Debe focalizarse en negocio, en los procesos que realmente son el corazón de la compañía y para los cuales resulta útil una certificación. Implementar una norma u obtener una certificación no es algo sencillo ni económico; por lo tanto, si se invierte tiempo y dinero en alcanzarla, que sea para que realmente contribuya a cuidar la información y sea un valor agregado al negocio.
Entonces… ¿qué hacemos?
Con algunas buenas prácticas y prestando atención a estos puntos se cubrirá bastante terreno:
- Entender el negocio: cómo funciona la empresa, cuáles son las áreas críticas y sus objetivos. Implementar medidas de seguridad que realmente sean un valor agregado y no una traba.
- Clasificar la información: una vez que fue entendido el negocio, se debe clasificar la información. Entender cuál es crítica y por qué (si es por confidencialidad, integridad o disponibilidad). Para esta tarea se debe involucrar a los dueños de esos datos, para que sean quienes realicen la clasificación y sean responsables de proteger esa información.
- Hacer correctamente un análisis de riesgos que ayude a identificar todos aquellos puntos débiles que comprometan la disponibilidad, integridad o confidencialidad de la información y enfocar allí las medidas para mitigar los riesgos. Además, esto debe ser un proceso de mejora continua, por lo que se debe contar con un plan de acción que también incluya revisiones y auditorías periódicas.
- Tener en cuenta a los usuarios. Después de todo, son ellos quienes terminarán utilizando los sistemas y medidas que se implementen, y serán los primeros en verse afectados si algo sale mal.
- Contar con personal capacitado y dispuesto a investigar las diferentes herramientas y configuraciones que se van a implementar.
Con todo el esfuerzo que requirió lograr que las empresas inviertan en seguridad, ahora es nuestra responsabilidad utilizar esa inversión de manera efectiva y cuidar los activos importantes.
Sigue leyendo: Cómo implementar un Sistema de Gestión de la Seguridad de la Información eficiente