Hace pocas semanas estuvimos trabajando en una fuerte
campaña de concientización de usuarios en lo referente a su privacidad y
seguridad lógica corporativa, en una muy importante empresa del sector
aeronáutico. Los resultados evaluativos eran totalmente esperados y la
conclusión tomó fuerza al referir: “los usuarios de la red ven la seguridad
como una traba, no como parte de un proceso” la verdad no me costó mucho esfuerzo aplicar
esta percepción a los líderes y gerentes de las diferentes áreas departamentales
de la organización.
Me dejó muy en claro que a veces el trabajo se pone cuesta
arriba, si nosotros mismos (quiénes
tenemos las tareas de hacer gestión de redes e infraestructuras empresariales) no
nos ponemos como meta principal que la seguridad es parte del proceso, si la
directiva de la organización ve este proceso como un factor que detiene o
relentiza la marcha de la organización o que resulta “poco provechosa” para el
negocio, entonces no se ha dado cuenta que las fallas o carencia de esta en
efecto si le ha representado un gasto superior (si no lo ha hecho aún, posiblemente lo hará)
Usuarios que nunca han cambiado un password de sus cuentas
de correo electrónico, que les molesta el hecho de rotar sus credenciales de
acceso, que ponen resistencia a las políticas de uso y manipulación de
información es falla del proceso o peor aún, un proceso que no existe o no ha
sido debidamente establecido y madurado en la organización, hoy en día parece
un mito una realidad como esta, más es una realidad. El CIO (figura que falta en muchas organizaciones)
en su lugar el departamento de sistemas e infraestructura, debe tomar como
premisa no solo el hecho de implementar este proceso, sino también encaminar su
madurez, lograr la sinergia tan necesaria entre el usuario y el proceso de seguridad
de información.
La seguridad lógica va más allá de contar con tecnología de
punta, poderosas (y muy costosas) estructuras de firewalls con lo último en
protección y resguardo de información, herramientas de monitoreo proactivo,
elementos de contingencias corroborados e inclusive bajos procesos de
verificación, etc.. la seguridad vista como un proceso involucra de manera
activa al usuario; por ende, es momento de derribar viejos paradigmas y
creencias, se debe actuar cuanto antes.
Estadísticamente hablando el phising es el mecanismo más
utilizado por atacantes como una técnica de engaño para cometer delitos
electrónicos/ económicos en varios países de Latinoamérica (especialmente en
Argentina y Venezuela), eso se resume en que es el usuario el eslabón más débil
de la cadena, esto no es una novedad más es preciso involucrarlo, no solo será
más barato para el negocio, sino también más practico si de prevención se
trata.
Algunas sugerencias:
- · Venda ideas en las que se vea beneficiado el usuario, no trabaje a espaldas de él. Involúcrelo y explíquele porque es bueno cambiar un password y que cumpla con reglas de complejidad.
- · Invítele a resguardar la información sensible de la organización, con estrategias de: tu información privada y la información de la empresa deben ser resguardadas.
- · Muestre estadísticas, por ejemplo, en España uno de los principales delitos electrónicos con más auge es la suplantación de identidad, ¿Te imaginas que suplanten tu identidad en las redes sociales y te veas involucrado en algún acto ilegal? O tan simple como que se ponga en riesgo tu reputación y tu seguridad o la de tu familia.
- · Diseñe un plan de concientización, a través de correos electrónicos, campañas enfocadas, charlas breves y precisas, por ejemplo: en el mes 1 se trate la seguridad de correos electrónicos y netiquette, en el mes 2 se trate de confidencialidad de información, en el mes 3 determine la importancia de trabajar con la información de clientes y proveedores y las consecuencias de una exposición de datos… y así de manera paulatina. Quizá deba involucrar al departamento legal para el apoyo mancomunado.
- · Haga pruebas de phising y engaño para determinar el nivel de conciencia de los usuarios en este sentido.
·
Explíquele al usuario las razones de porque no
debe acceder a sitios web de dudosa reputación, y que no debe hacer uso de los
recursos de trabajo con fines personales (hay usuarios que se molestan cuando
no pueden descargar sus películas desde la red de la empresa para verlas por lo
noche al llegar a casa)
El usuario no es el enemigo, nosotros los delegados del área, debemos educar al usuario, pero también involucrarlo de manera activa.
Y por último:
La seguridad lógica corporativa es responsabilidad de todos los
empleados, no solo del jefe, del CIO, o del departamento de sistemas, también
te involucra a ti.
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
No hay comentarios:
Publicar un comentario