Por cada violaci\u00f3n de los datos que salen en los titulares, hay decenas de cientos que no son reportadas por los medios de comunicaci\u00f3n, no declarada por las empresas o, peor a\u00fan, pasan desapercibida.<\/p>\n
La erupci\u00f3n de la publicidad negativa en torno a organizaciones que tienen experiencia con los ataques inform\u00e1ticos\u00a0 parece ser un motivador suficiente para instar a los l\u00edderes empresariales en reforzar sus programas de seguridad con el fin de evitar que sean el siguiente titular principal. Si eso no es raz\u00f3n suficiente, la letan\u00eda de las regulaciones impuestas a ciertas industrias deber\u00eda ser suficiente, \u00bfno? Quiero decir, \u00bfqui\u00e9n quiere ser v\u00edctima de una violaci\u00f3n de datos, los riesgos financieros, legales y \u00a0de reputaci\u00f3n?<\/p>\n
En mi experiencia he encontrado que los l\u00edderes corporativos en general, quieren operar de forma segura, sin embargo, a menudo toman decisiones pobres o sin educaci\u00f3n que contribuyen a una postura de seguridad mediocre.<\/p>\n
Tome cualquier art\u00edculo sobre una violaci\u00f3n de datos recientes y es probable que leer acerca de las razones t\u00e9cnicas que los atacantes fueron capaces de poner en peligro la red. Por ejemplo, las grandes cadenas se han roto debido a los atacantes comprometer un punto de acceso inal\u00e1mbrico inseguros en sus tiendas que estaban conectados a su ambiente de procesamiento de pagos. Lo que no se lee es acerca de la causa ra\u00edz del problema. \u00bfPor qu\u00e9 hubo un punto de acceso inseguro en el primer lugar?<\/p>\n
En este art\u00edculo, vamos a ver 5 razones no t\u00e9cnicos por las cuales las organizaciones son vulneradas.<\/p>\n
Para la mayor\u00eda de las organizaciones, las funciones de gesti\u00f3n de la seguridad est\u00e1n en la periferia de la estructura de las organizaciones o enterrados en lo profundo de TI. Para el negocio, la seguridad es a menudo un post-pensamiento y por lo general impuesta a la organizaci\u00f3n en forma de regulaciones tales como PCI, HIPAA y GLBA, a\u00fan as\u00ed el cumplimiento es irregular en el mejor de los casos. Seamos realistas, la seguridad no contribuyen directamente en lo profundo de las organizaciones. De hecho, es en la superficie, puede parecer un impacto negativo en el fondo aumentando el coste de los proyectos y debido a la dificultad para calcular el retorno de la inversi\u00f3n.<\/p>\n
Entonces, \u00bfpor qu\u00e9 tenemos esta desconexi\u00f3n? En pocas palabras, la seguridad de la informaci\u00f3n no ha sido tra\u00edda desde la periferia de la estructura organizativa, vamos a echar un vistazo al pasado no muy lejano, hace diez a quince a\u00f1os TI se encontraban en un lugar muy similar en la evoluci\u00f3n de la \u201caceptaci\u00f3n de la organizaci\u00f3n\u201d. Los l\u00edderes organizacionales no entend\u00edan a la tecnolog\u00eda y por lo tanto no pudo haberse sabido gestionar adecuadamente o integrar efectivamente en su organizaci\u00f3n. En muchas organizaciones se dej\u00f3 funcionar a TI por s\u00ed mismo, no fue incluido en la planificaci\u00f3n estrat\u00e9gica, ni en las iniciativas y pudo haber sido considerada en algunas organizaciones como un \u201cmal necesario\u201d. No hace falta decir que apoyo a la gesti\u00f3n, los recursos y los presupuestos eran dif\u00edciles de obtener, si no inexistente. Hoy en d\u00eda, en la mayor\u00eda de las organizaciones ha sido aceptado en el n\u00facleo del negocio debido a la necesidad de las organizaciones para seguir siendo competitivos y ejecutar de manera eficiente. Afortunadamente, los departamentos de TI est\u00e1n ahora dirigidos por l\u00edderes con pensamiento de negocios, no de \u201ctecnolog\u00eda\u201d.<\/p>\n
Entonces, \u00bfqu\u00e9 pasa con todo esto hablar de TI? \u00bfNo es este blog sobre la seguridad? La respuesta es simple: la seguridad es hoy donde estaba TI hace 10-15 a\u00f1os. Todas las cosas que TI se enfrent\u00f3 en el pasado las padecen, hoy en d\u00eda, las \u00e1reas de seguridad de la informaci\u00f3n, como la falta de comprensi\u00f3n de la seguridad por el l\u00edder de la organizaci\u00f3n y la falta de integraci\u00f3n de la seguridad en el proceso b\u00e1sico de gesti\u00f3n de negocios.\u00a0Hasta que las organizaciones acepten la seguridad como una parte integral de la organizaci\u00f3n est\u00e1 \u00e1reas les toca remar contra la corriente<\/a>.<\/p>\n La lamentable percepci\u00f3n es que con la existencia de un Gerente de seguridad, la seguridad ya no es preocupaci\u00f3n de nadie m\u00e1s. No s\u00e9 por qu\u00e9 esto es as\u00ed; lo \u00faltimo que supe es que en ISO todav\u00eda era responsable de desarrollar y mantener un presupuesto, a pesar de que ten\u00eda un director financiero y el departamento de contabilidad. En las organizaciones donde la seguridad la informaci\u00f3n est\u00e1 centralizada, pero las responsabilidades no est\u00e1n bien definidas, el negocio continuar\u00e1 con las iniciativas y objetivos del negocio, y est\u00e1n a lespera de que seguridad de la informaci\u00f3n intervenga (con la esperanza de que puede pasar por debajo del radar) o pasar la pelota a seguridad con la finalidad de conseguir la \u201caprobaci\u00f3n\u201d \u00a0justo antes del pase a producci\u00f3n. Sin embargo, cuando seguridad interviene, a menudo es demasiado tarde en el ciclo de vida del proyecto o los objetivos de negocio triunfan sobre todos los riesgos identificados que hacen los procesos de seguridad ineficaces y parece ser un obst\u00e1culo. Seguridad debe ser preocupaci\u00f3n de todos y no s\u00f3lo del CISO.<\/p>\n Cuando se trata de nuestros puestos de trabajo, todos estamos responsabilizados por algo. Por ejemplo, los lideres de proyectos que garanticen que se completen a tiempo y dentro del presupuesto. Nuestra eficacia o ineficacia, a menudo se traduce en nuestras evaluaciones de desempe\u00f1o que tienen un inter\u00e9s creado en que queda un trabajo remunerado y la obtenci\u00f3n de alg\u00fan tipo de beneficio econ\u00f3mico en forma de un aumento de sueldo o bonificaci\u00f3n. Mi punto es, si un empleado sabe que est\u00e1n siendo responsabilizados por algo, usted puede apostar que va a cumplir con ello, especialmente si afecta a su situaci\u00f3n laboral o posibles ganancias futuras. Del mismo modo ocurre con la seguridad de la informaci\u00f3n, sin embargo, los empleados rara vez son responsables de su participaci\u00f3n en la seguridad de la organizaci\u00f3n. Supongo que la seguridad podr\u00eda ser categorizados en \u201cOtras tareas asignadas\u201d en la descripci\u00f3n del trabajo de un empleado, pero realmente lo que se necesita es explicar en detalle y de forma clara esas tareas.<\/p>\n Los l\u00edderes de negocio y seguridad deben identificar las funciones y responsabilidades de seguridad de la informaci\u00f3n para cada nivel de los empleados en tu organizaci\u00f3n. Estas responsabilidades deben estar incluidas en la descripci\u00f3n del trabajo de cada empleado y se traducen en esas responsabilidades con el proceso de evaluaci\u00f3n del desempe\u00f1o. \u00bfQu\u00e9 es lo que acabamos de crear haciendo esto? Hemos creado un ambiente donde las expectativas de seguridad de la informaci\u00f3n est\u00e1n claramente definidas y medidas, en \u00faltima instancia conduce a una cultura de seguridad m\u00e1s consciente.<\/p>\n Las organizaciones que ponen la responsabilidad de la gesti\u00f3n de la seguridad en manos de las personas de TI son el equivalente de dejar de guardia a un zorro del gallinero. No estoy diciendo que la gente es maliciosa y quieren que tu organizaci\u00f3n sea vulnerada, pero se ponen en una situaci\u00f3n precaria en la que a menudo surgen conflictos de prioridades y algo tiene que sacrificarse. Por ejemplo, al principio de mi carrera como gerente de TI me encargaba principalmente de la obtenci\u00f3n e implantaci\u00f3n de sistemas operacionales para la empresa por lo que la organizaci\u00f3n puede comenzar a reconocer el retorno de la inversi\u00f3n. La presi\u00f3n de la empresa era a menudo abrumadora y plazos de los proyectos eran por lo general muy agresivos. Sin embargo, tambi\u00e9n era el encargado no oficial de la gesti\u00f3n de seguridad en la infraestructura de TI. Cuando se me pon\u00eda en la posici\u00f3n de conseguir un sistema en el mercado o me colocaba mi camisa de TI y deb\u00eda asegurar que los riesgos fueron identificados y mitigados, este \u00faltimo era lo que a menudo sacrificaba. S\u00e9 que es un hecho que no fui el \u00fanico que se coloca en situaci\u00f3n inc\u00f3moda e injusta. Hoy en d\u00eda, como consultor de seguridad, lo veo m\u00e1s de lo que les gustar\u00eda admitir.<\/p>\n Amigos, dejen que la gente de TI haga lo que son buenos. Invol\u00facralos en el proceso de seguridad, pero no los ponga en la situaci\u00f3n injusta de tener que elegir entre la entrega de una soluci\u00f3n en el tiempo sobre la garant\u00eda de que est\u00e1 seguro. Estas expectativas deben ser fijadas por un gestor de riesgos CISO, CSO o como lo quieras llamar. Ese rol no debe informar a trav\u00e9s de TI, donde hay un potencial de conflicto de prioridades. Al igual que los auditores a los cuales se les necesita garantizar la independencia, los profesionales de la seguridad no deber\u00edan tener que preocuparse por ser injustamente influenciado por su jefe porque \u00e9l\/ella tiene un inter\u00e9s personal en la entrega de un proyecto a tiempo o dentro del presupuesto.<\/p>\n La mayor\u00eda de las organizaciones de tama\u00f1o medio o grande tiene un comit\u00e9 de auditor\u00eda, especialmente las empresas que cotizan en bolsa. Este comit\u00e9 se compone generalmente de miembros de la junta que tienen la responsabilidad de revisar y asegurar la exactitud de las declaraciones financieras de las organizaciones. Su objetivo no es poner realmente los estados financieros en conjunto, sino m\u00e1s bien asegurarse de que los controles establecidos para evitar errores u omisiones son eficaces y que la administraci\u00f3n est\u00e1 tomando las medidas adecuadas para identificar y mitigar los riesgos continuamente.<\/p>\n Por lo tanto, si tenemos este proceso en todo el riesgo de falsear las finanzas, \u00bfpor qu\u00e9 no contamos con un proceso similar para la gesti\u00f3n de los riesgos de las brechas de seguridad?Ver Comit\u00e9 de Seguridad de la Informaci\u00f3n<\/a><\/p>\n Un proceso de gobierno se asegura de que los tomadores de decisiones de la organizaci\u00f3n est\u00e1n \u201cen sinton\u00eda\u201d con los riesgos de seguridad identificados y la eficacia o falta de los controles implementados. Esto les da a las personas la oportunidad de hacer preguntas, comprender los riesgos y volver a priorizar los riesgos. Las organizaciones que carecen de la gobernabilidad sobre la gesti\u00f3n de la seguridad de la informaci\u00f3n omiten una responsabilidad muy importante y poderosa de la direcci\u00f3n ejecutiva y, en algunos casos, el consejo de administraci\u00f3n, para garantizar la confidencial de la seguridad de su informaci\u00f3n.<\/p>\n Fuente:\u00a0SecurityStreet<\/a><\/p>\n <\/strong>Carlos Sol\u00eds Salazar<\/strong><\/p>\n2. Responsabilidades equivocadas<\/strong><\/h2>\n
\u00a03. Carencia de responsabilidades<\/strong><\/h2>\n
\u00a04. Conflictos de Inter\u00e9s<\/strong><\/h2>\n
\u00a05. La falta de gobernabilidad<\/strong><\/h2>\n