Por David Montoya, director de Canales de Paessler Latinoamérica:
Las noticias sobre delitos cibernéticos, y diversas encuestas, muestran que al factor humano en la gestión de la seguridad de TI a menudo se le da muy poca importancia. No siempre la infraestructura de TI es el factor más riesgoso sino que una política y una capacitación débil de los colaboradores puede desencadenar prácticas riesgosas.
Este hecho lleva directamente a la pregunta de ¿cómo se puede desarrollar y mantener una cultura integral de seguridad de TI dentro de una organización? Algunos aspectos clave a considerar.
1 Tener el soporte de la alta gerencia: La alta gerencia necesita apoyar y facilitar los programas para generar la cultura de seguridad informática y debe insistir en el cumplimiento de los lineamientos de seguridad.
- Configurar los lineamientos de seguridad: La definición de roles y responsabilidades de todas las partes interesadas proporciona la base para un comportamiento de conformidad con la seguridad de TI.
- Conciencia sobre Seguridad TI: La conciencia sobre seguridad de TI es parte esencial de la cultura. Sólo si las personas conocen los riesgos y las consecuencias de la interacción con los sistemas de TI, se puede reducir el riesgo general de seguridad de TI.Los lineamientos de seguridad comunicados y actualizados aumentan la conciencia de seguridad de TI en la organización.
- Entrenamiento en Seguridad TI: La herramienta más efectiva es la capacitación en seguridad de TI que desarrolle la cultura de seguridad de TI en una organización. Para una cultura saludable, la capacitación adecuada para los miembros individuales de la organización debe realizarse regularmente, simplemente porque el marco de seguridad de TI cambia continuamente. Y como siempre, una participación más amplia tiene el mayor impacto.
- Analizar riesgos de seguridad de TI: Analizar y comparar el riesgo de seguridad por supuesto ayuda a estimar el daño potencial, pero también promueve una cultura de seguridad de TI.
Como se mencionó, la seguridad de TI es un proceso: nunca se detiene y está en constante cambio. El método PDCA (Plan Do Check Act) se puede utilizar para garantizar una adaptación constante del marco para una cultura de seguridad de TI sana.
–Plan: En primer lugar, se requiere un análisis de la situación actual. Y también, la definición del estado objetivo identificado para delinear medidas. No es suficiente verificar los lineamientos de seguridad. También se deben incluir entrevistas, observaciones y mediciones del comportamiento para poder obtener una imagen real de la cultura actual de seguridad de TI. Dependiendo de la diferencia entre el estado actual y el objetivo, se deberán aplicar diferentes medidas.
–Do: En esta fase, las medidas definidas deberán realizarse. Una comunicación clara y proactiva, y el apoyo de la alta dirección, es muy importante en esta fase.
–Check: Fase de control de las medidas implementadas. Es importante verificar si se alcanzó el objetivo utilizando los mismos métodos que en la fase de planificación para identificar la situación actual.
–Act: En la última fase, los cambios realizados con éxito se deben comunicar y compartir los aprendizajes. Asimismo permite correcciones menores de la implementación.
De la teoría a la práctica
Las organizaciones enfrentan un riesgo típico de protección de datos cuando los empleados trabajan desde sus computadoras portátiles de forma remota, por ejemplo, a bordo de un avión. Los vecinos, llamados hackers visuales, pueden obtener fácilmente información que puede ser altamente confidencial. ¿Cómo enfrentar este riesgo con el método PDCA?
En la fase Plan del PDCA, este riesgo potencial se descubrió durante una entrevista. El estado objetivo: que no haya hackeo visual. No se aceptará una directriz que indique al empleado que no trabaje mientras está a bordo de un avión, ya que la prioridad del empleado es realizar el trabajo. Por lo tanto, una medida más exitosa sería aplicar un filtro de privacidad para la pantalla de cada computadora portátil.
En la fase Do, el departamento de TI puede incluir el filtro de privacidad en la lista de equipamiento estándar para nuevos empleados.
La fase Check debe incluir verificación: si todas las computadoras portátiles existentes ya están equipadas con un filtro de privacidad y si el filtro se incluyó en la lista de verificación de equipos de TI para las nuevas computadoras portátiles.
No sólo se reduce el riesgo automáticamente de esta manera, sino que además se ve facilitado por una comunicación clara durante la fase Act. Además, el filtro de privacidad hace que los empleados sean más conscientes de los hackers visuales y, por lo tanto, fortalece la cultura de seguridad de TI.
