Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo repensar la seguridad para el nuevo mundo de las TI

[28/03/2014] "Lucharemos en la playa. Lucharemos en los campos de aterrizaje. Lucharemos en los campos y en las calles. Lucharemos en las colinas. Nunca nos rendiremos", dijo Winston Churchill en su famoso discurso en junio de 1940 ante los ataques nazis en Inglaterra. Su compromiso inicial con el objetivo de la victoria, por largo y duro que sea el camino", es una analogía adecuada a las batallas de seguridad que enfrentan las empresas.
Los chicos malos son persistentes y sofisticados, y están haciendo incursiones. Es difícil ser optimista cuando los clientes, los inversionistas y los reguladores esperan que protejamos totalmente los valiosos activos y preservemos la privacidad, mientras que algunos gobiernos y proveedores de los que dependemos ponen ellos mismos en peligro nuestros datos, software y redes.
La lucha por la seguridad es más difícil que nunca. La mayoría de las organizaciones está luchando la guerra de hoy con herramientas y enfoques de ayer -como la protección de perímetros con contraseñas y firewalls-, y están perdiendo. Hay demasiado énfasis en amurallar nuestros datos y sistemas, y la creencia errónea de que el enfoque de asegurar el perímetro es adecuado.
Hablamos con docenas de expertos en seguridad, expertos de la industria, y ejecutivos de negocios para obtener un mejor framework respecto a la seguridad actual. Lo que sigue es ese framework.
Enfóquese en los riesgos y las personas, no solo en los dispositivos y datos
Un enfoque mucho más defensivo se construye alrededor de una mentalidad de riesgo. Sí, un riesgo clave es la pérdida de datos críticos o sensibles, por lo que debe proteger adecuadamente los datos. Sin embargo, existen otros riesgos, como la interrupción de las operaciones del negocio, la reputación dañada, el incumplimiento de las normas, los riesgos de inversión, y la pérdida de la propiedad intelectual. ¿Cuál de estos peligros le dolería más? ¿Cómo evalúa las amenazas? ¿Cómo protegerse de estas amenazas, desde las mayores hasta las de menor impacto? Las protecciones perimetrales a menudo no abordan estas preocupaciones.
Por ejemplo, el procesador de tarjetas de crédito Visa International lleva a cabo una evaluación de riesgos completa de todos sus procesos, incluyendo -aunque no solo eso- aquellos donde la tecnología soporta esos procesos de negocio. "El riesgo está donde una vulnerabilidad se junta con una amenaza, y adoptar una visión holística de los riesgos es la base de un enfoque sólido de la seguridad", señala George Totev, ex vicepresidente de seguridad de información, gobernanza, riesgo y cumplimiento de Visa.
En esencia, la evaluación de riesgos es lo que haces cuando compra un seguro. Cuando compra un seguro, usted (o por lo menos su aseguradora) está pensando acerca de las vulnerabilidades que llevan a malas consecuencias.
La evaluación de riesgos y protección de riesgos varían según la industria y la empresa. Algunas requieren del uso de la tecnología, algunas requieren cambios de procesos, y otras requieren cambios en el comportamiento de las personas. Otras organizaciones se ven obligadas a hacer frente a algunas formas de riesgo de seguridad debido a la regulación, con independencia de su propio análisis de riesgos. Su enfoque se convierte en satisfacer los requerimientos de una manera eficaz y sin una carga indebida sobre sus operaciones, finanzas, o estrategia.
Cualquiera que sea la filosofía de riesgo de una empresa y sus requerimientos externos, ser selectivo y enfocarse en los riesgos más altos es un enfoque práctico.
Pero, ¿cómo centrarse en esos riesgos? La mayoría de las empresas, así como la industria de proveedores de seguridad, tratan a la seguridad como un desafío técnico. Se esfuerzan por que el software, hardware y servicios identifiquen y reduzcan los riesgos. Pocos involucran a su gente -las mismas personas que crean y utilizan la información que se está siendo protegida. Muchas organizaciones excluyen activamente a su personal de los enfoques de seguridad, porque no confían en la gente.
No hay una tecnología que sea una bala de plata en seguridad, y automatizar a la gente fuera de la ecuación de la seguridad, tiene el efecto perverso de hacer que la gente sea perezosa o indiferente ante la seguridad. Después de todo, TI se encargará de ello, y asumirá la culpa cuando hay una fuga o ruptura.
Es por eso que una estrategia de seguridad para hoy debe cambiar el énfasis principal de defensa de los dispositivos a la gente. Los ataques con éxito clave hoy involucran a personas, ya sea los que utilizan métodos de ingeniería social como el phishing, a poner físicamente el hardware intercepción en terminales de venta automatizadas.
La seguridad es un juego dinámico de relatividad del riesgo -es decir, ¿son sus defensas mejores que el nivel actual de amenazas? Las palabras "dinámico" y "juego" son relevantes. La seguridad sigue las leyes de la entropía: Los niveles de energía disminuirán si no se renuevan. Se requiere una vigilancia constante. Y una mentalidad de juego es crucial para mantener la vigilancia activa y adaptativa. Después de todo, cada nueva defensa es desafiada por un nuevo truco. La gente es naturalmente buena en esto, y debe atraer a su gente para aprovechar esa capacidad humana, no los automatice fuera de sus defensas.
Tiene que estar en la mentalidad de las personas que crean las amenazas. Ellos juegan con sus empleados, usted debe jugar con ellos -y sus empleados deben ser participantes activos como sus ojos y oídos, no como usuarios cegados.
En otras palabras, deje de tratar a su gente como un problema que contener, y en su lugar empiece a hacer que formen parte de la solución.
Cinco dimensiones del nuevo modelo de seguridad
Aunque esté a años de distancia de la perfección, han surgido patrones bastante plausibles para permitir a los negocios comenzar con los ajustes necesarios. El nuevo modelo es aditivo. Usted debe seguir las mejores prácticas que empleó en las zonas más altas de riesgo, mientras incorpora el riesgo y la orientación de las personas de una defensa mejorada.
El nuevo modelo tiene cinco dimensiones:
1. Limite el enfoque de seguridad de información a los activos críticos esenciales.
2. Proteja los activos clave con sistemas de defensa de varias capas.
3. Involucre a las personas que utilizan la información para proteger los activos con los que trabajan.
4. Forme un equipo con sus socios de negocios para impulsar los sistemas inmunológicos de ellos y suyos.
1. Limite el enfoque de seguridad de información a los activos críticos esenciales
La seguridad perfecta es imposible, Sin embargo, proteger todo por igual ha sido el objetivo de seguridad insostenible en muchas organizaciones.
Un enfoque basado en el riesgo con un mejor esfuerzo es más racional. Aplique sus mejores esfuerzos a lo que es más valioso y a lo que es más impactante en su negocio. Al hacerlo, prioriza los niveles de riesgo, lo cual debería ser un terreno familiar para los CIO y otros líderes de TI desde su trabajo en continuidad de negocio y recuperación de desastres.
Determinar cuáles son los activos más valiosos de la organización es de enorme importancia, pero a menudo es controvertido. Algunas organizaciones creen que la información es el activo que requiere más protección. Sin embargo, si determinados atributos de riesgo son asignados a un conjunto de activos -datos, software, redes y personal- se vuelve evidente que hay mucho más que debe ser tomado en cuenta al hablar de penetración y ataques a los activos.
La noción de clasificar los activos de información del negocio es el factor menos común en la seguridad de la información empresarial en la actualidad, según se mostró en una reciente encuesta de las publicaciones hermanas de InfoWorld, las revistas CIO y CSO, llevada a cabo por PwC.
Los elementos incluidos en las políticas de seguridad de las empresas. Clasificación del valor –el centro del análisis de riesgo- es lamentablemente el elemento común. Fuente: Encuesta Global del Estado de la Seguridad de la Información 2013 por PwC, revista CIO y revista CSO.
 
Este enfoque basado en el riesgo no es fácil, y requiere de un gran cambio mental en muchas organizaciones. Pero hay una buena razón para hacer el esfuerzo: Cuanto más grande es el alijo de activos y mayor es la complejidad de las normas, más difícil es protegerlos. Un enfoque más centrado y menos complejo podría equilibrar mejor el riesgo y los beneficios, y le permitiría lograr realmente la protección deseada.
2. Proteja los activos clave con sistemas de defensa de varias capas
Cualquier enfoque que requiera una prevención al 100% tiene garantizado el fracaso. No hay forma de asegurar que algo está perfectamente protegido, así que busque la capacidad de recuperación en lugar de la prevención absoluta. Reconozca que las defensas tienen que ser construidas a partir de varios componentes.
Un modelo mejor para la seguridad es uno biológico, el que puede recuperarse y funcionar a pesar de las infecciones o daños. El sistema biológico busca confinar una intrusión al primer sistema infectado, de modo que no haya una penetración más amplia. El sistema biológico supone que habrá riesgos en constante evolución, y uno de ellos puede estar atacando ahora mismo. Todos estos principios deben aplicarse a las tecnologías y prácticas empresariales que se utilizan para asegurar su negocio.
Debe asumir que está comprometido y desarrollar una estrategia en torno a ese supuesto. (Ahora está claro que la mayoría de las empresas ya están en peligro, ya sea por delincuentes cibernéticos, competidores, o gobiernos). Entienda que hay muchas fuentes de infección, no solo el centro de datos, la PC o en el dispositivo móvil.
La mayoría de los sistemas biológicos también utilizan redundancia. Haga lo mismo con sus enfoques de seguridad. El CIO de Intel, Kim Stevenson, ha descrito un enfoque de tres niveles que la empresa ha utilizado de manera efectiva, que se basa en este principio.
Un enfoque en capas para acceder tiene sentido, usando solo lectura o contenedores en capas -el equivalente de mantener su joyas preciosas en una caja fuerte en casa o de poner seguro a su auto aún en el garaje. Debería combinar esa estrategia con la protección básica contra accidentes, tales como solicitar encriptación y password de ingreso para acceder a la información en primer lugar -el equivalente de echar llave a la puerta de la casa y configurar la alarma antes de salir.
Los sistemas de defensa de múltiples capas por software se basan en gran medida en una combinación de escaneos humanos y escaneos por software diseñados para identificar vulnerabilidades. Incruste la seguridad dentro del ciclo de desarrollo de software con técnicas como el análisis de riesgo y la revisión de código (algunas veces por una organización de control de calidad), y utilice software comercial que revise las vulnerabilidades. En la actualidad no hay ningún software que pueda escanear todas las vulnerabilidades potenciales, así que combine revisiones manuales con múltiples escaneos de diferentes paquetes de identificación de amenazas. Enfrente las vulnerabilidades en el diseño en lugar de hacerlo después de los hechos, señala el ex ejecutivo de seguridad de Visa, Totev.
Un buen recurso para entender qué buscar es el Open Web Application Security Project (OWASP), una organización sin fines de lucro que proporciona información sobre vulnerabilidades y sugiere medidas de mitigación.
Una capa crítica es la de gestión de identidad. Hay varias tecnologías disponibles para hacer eso, con diferentes obstáculos que deben superar los usuarios y los sistemas. La cantidad de puntos de control de identidad que imponga debe estar directamente relacionada con su análisis de riesgo. Y, por supuesto, también debe utilizar el aislamiento para limitar el alcance de un compromiso. Los sistemas biológicos suelen hacer las dos cosas.
Un ejemplo de la combinación de la autenticación basada en la identidad y el aislamiento es Salesforce.com. Utiliza autenticación de dos factores en dos ocasiones para permitir el acceso a sus entornos de producción, en los que el daño de una intrusión podría ser muy alto: El usuario debe satisfacer la autenticación de dos factores para entrar en un entorno de confianza, luego tiene que satisfacer una autenticación de dos factores diferente para entrar en un entorno operativo que se entrega a través de un terminal tonto, desde el que no se puede mover o copiar datos. Un estándar diferente se aplica al acceso al correo electrónico, en el que el perfil de riesgo es distinto.
La gestión de la identidad sería más eficaz si puede ser aplicada a los datos en sí mismos. La DRM (gestión de derechos digitales) a nivel de información llevaría dicha tecnología a un nuevo nivel de seguridad -pero solo si puede ser desplegada de una manera estándar, junto con las líneas que InfoWorld ha sugerido en su propuesta InfoTrust. La identificación de confianza emparejada con permisos consistentes y portátiles reduciría el acceso inapropiado a la información, aún si los dispositivos y las redes son violados.
3. Involucre a las personas que utilizan la información para proteger los activos con los que trabajan, tanto críticos y no críticos
Hasta que las máquinas se apoderen totalmente del universo, las personas son la última fuente de amenazas, y frecuentemente el punto de entrada a vulnerabilidades. También son una fuente de prevención.
Algunas de las amenazas más sofisticadas surgen a través de la ingeniería social, donde los chicos malos se cuelan a través de las redes sociales y de contactos de correo electrónico de usuarios desprevenidos -dirigiéndose especialmente a ejecutivos y personal clave. A partir de ahí, de manera deliberada y con sigilo, los chicos malos pueden evaluar las disposiciones de seguridad de la empresa en el mismo lugar y trabajar alrededor de ellas. Póngase en los zapatos y la mentalidad tanto de los chicos malos, de su propio personal y de sus socios de negocios.
Debido a que frecuentemente la gente es el conducto para la intrusión, inclúyala en la prevención. Deje de ponerlos automáticamente fuera del proceso, como ha sido el modo estándar de TI en las dos últimas décadas. El estilo en boca cerrada no entran moscas de la era pre-PC era efectivo, haciendo de la seguridad responsabilidad de todos, no algo que los empleados podían trasladar a otra persona. Hoy esto debe ser nuevamente ser un componente en la seguridad de la información moderna. No solo ayudará a mantener a los individuos a evitar conductas riesgosas, sino que habrá muchos más ojos observando si algo puede estar mal.
Al traer de vuelta a la gente a la ecuación de seguridad, no descuide el entrenamiento y concientización de la fuerza laboral y de los socios. Sí, la gente puede aprender y aplicar lo que se le enseña. Ese fue el caso en la Universidad de Long Island, la cual varios años antes comenzó una iniciativa de concientización de seguridad coincidente con el cambio de PC a iPads, apps móviles y servicios en la nube. La universidad está sujeta a la HIPPA (Ley de portabilidad y auditoría de seguros de salud) y las regulaciones del FRCP (Procedimiento Civil de Reglas Federales) debido a su escuela médica y su estatus como proveedor de préstamos federales, pero descubrió que podía manejar sin problemas tales regulaciones, según informó el CIO George Baroudi. Lo que resultó diferente fue cómo TI se comprometió con los alumnos y la facultad, como un participante de cumplimiento de concientización en el proceso, no como un desarrollador de limitaciones tecnológicas en el sótano, señaló a Information Week.
Algunas industrias han descubierto la manera de hacer que los empleados participen activamente en el logro de los comportamientos clave. Las personas son jugadoras naturales, y la creación de incentivos de juego para evitar o detectar amenazas puede ser un poderoso antídoto. Abordando un enfoque de administración de la mejora de la calidad, algunas empresas han usado técnicas de gamification como publicar el número de días sin incidentes, creando tanto conciencia como una participación activa en favor de una conducta más seguirá.
Felizmente, si los empleados son revisados, entrenados y monitoreados para sean dignos de confianza, el riesgo de lo demás -es decir las cosas que se sabe que son de menos riesgo- se vuelven de un riesgo aún menor.
La buena noticia es que un porcentaje significativo de empresas tiene métodos de seguridad orientados a muchas personas, como muestra la encuesta de CIO/CSO/PwC, aún si no necesariamente son manejadas en una forma holística, pan-empresarial. Sin embargo, ese enfoque de panorama general es crítico para el éxito, porque solo entonces usted puede hacer la arquitectura y desplegar un sistema que funcione.
Medidas de seguridad de la información en el lugar relacionados a las personas. Fuente: Encuesta Global del Estado de la Seguridad de la Información 2013 por PwC, revista CIO y revista CSO.
4. Forme un equipo con los socios comerciales para aumentar el sistema inmunológico de ellos y el suyo
Ahora vive en un gran mundo de información digital y procesos que comprende las fuentes empresariales de material en bruto, producción, distribución, servicio posventa y soporte. Esto es verdad ya sea que esté en un negocio que produce tangibles (como autos y productos de electrónica) o servicios (como escuelas y hospitales).
En la última década más o menos, las empresas se han vuelto altamente virtualizadas gracias al outsourcing (con proveedores, contratistas y servicios de nube), fuerzas laborales distribuidas (también una combinación de personal y contratados), espacios de trabajo distribuidos (oficinas y satélite y domésticas), espacios de trabajo tercerizados (como call centers), y personal digital nómada que trabaja en cualquier lugar.
No hay manera de construir una pared alrededor de este ecosistema moderno. Usted ve esta futilidad en la pérdida de efectividad de defensas tradicionales, como passwords, protección de virus, detección de intrusos, y otros métodos de detección basados en firma. Las amenazas también demasiado dinámicamente, y de hecho ahora se pueden auto adaptar. Los chicos malos sofisticados van directamente a los servidores o a las redes y puentean las protecciones por password de los dispositivos de los usuarios. Los recientes robos masivos de datos de clientes en los principales retailers y las revelaciones del ex contratista de la NSA, Edward Snowden, deberían hacer evidente toda esta situación. Aunque muchas compañías se preocupan sobre si iCloud o Google Drive es una amenaza, sus sistemas principales ya están profundamente comprometidos más directamente.
Las nociones de dentro y fuera de la empresa ya no funcionan de manera clara. Como consecuencia, un problema principal para los CIO es poner el riesgo en cascada. Los clientes pueden confiar en la empresa con la cual ellos interactúan, pero ¿puede esa confianza extenderse a todas las otras entidades que pueden ser parte de la cadena de aprovisionamiento?
Debería trabajar con sus proveedores y otros socios de negocios para aplicar los conceptos descritos en este artículo a todos sus sistemas, no solo a aquellos con los que interactúan. Después de todo, probablemente hay más conexiones que explotar de lo que cualquiera se imagina, y tener un framework común de seguridad probablemente funcionará mejor que tener múltiples frameworks. (Por supuesto, la implementación necesitará variar en base al análisis principal de riesgo para cada entidad).
Compartir las mejores prácticas crea sinergia. Y una sociedad activa es de lejos un mejor enfoque que solo usar amenazas contractuales.
Puede esperar más demandas de sus clientes, reguladores, inversionistas y otros para demostrar su destreza en seguridad, y quizás demandar testear independientemente esas defensas. Como parte de este aseguramiento, un declaración de aplicabilidad será solicitada; en la misma deben estar las especificaciones de cuán ampliamente son adoptadas las medidas de seguridad. Esto se enlaza con el punto de no puede proteger todo de igual manera que ya hemos revisado. El costo de la seguridad se está elevando. Aunque son una parte inevitable del quehacer empresarial, los costos pueden ser administrados a niveles razonables si se enfoca en las cosas que importan realmente.
Algunas empresas adoptan un enfoque de lista de verificación de seguridad, en el que pueden enumerar las tácticas que hemos seguido para explicar las perdidas inevitables de información a los reguladores y clientes. Ellos implementan a sabiendas este enfoque de lista de verificación no solo porque funciona, sino porque minimiza el riesgo de demandas o multas.
La estrategia de lista de verificación es una acusación del status quo -una estrategia que reconoce tácitamente que el enfoque actual de perímetro está fallando pero no se ofrece una mejor alternativa. La pretensión de una lista de verificación ya no es adecuada.
5. Haga de la seguridad un problema de negocio -no solo un problema de TI
La seguridad de la información no es solo un problema de TI o de tecnología, es fundamentalmente un problema de administración que pocas organizaciones tratan como tal.
Sí, la empresa mirará al CIO y al CISO por liderazgo en seguridad de la información, pero la posibilidad de auditar tiene que ser más ampliamente compartida. Las organizaciones de seguridad y tecnología no pueden mantenerse auditables, si la acción de los individuos fuera de TI es la base de compromisos.
Es hora de pensar en este evolutivo modelo de seguridad de la información como uno de seguridad integral, que usa múltiples tecnologías y técnicas de administración, de amplia aceptación y con capacidad de ser auditado, construido en capas y ajustado para los riesgos y valor estimados.
La gobernanza amplia es clave, se requiere acciones y responsabilidades en toda la organización, comprometiendo a los empleados, proveedores, el nivel C, y al directorio como participantes proactivos. Requiere administración para evaluar, gestionar activamente, y mantener bajo responsabilidad a los gerentes, empleados y socios de negocios -no desviar la responsabilidad como una falla de tecnología de TI o de la organización de seguridad.
Por ejemplo, ¿está el departamento de marketing usando una nube o proveedores de análisis de negocios aprobados por el CIO, que hayan demostrado capacidades de seguridad? ¿Los proveedores que habitualmente acceden a datos críticos usan procesos compatibles con la seguridad? El directorio se comunica a través de canales protegidos o distribuye datos financieros y de venta como adjuntos a través de e-mails en ambientes abiertos? (Los e-mails nunca son seguros, y los avisos legales al final del mensaje son paliativos falsos).
Necesita una gobernanza de seguridad pan-empresarial similar a cómo opera el área legal o de RR.HH. en compañías líderes, con un compromiso que va desde la junta de directores hasta los empleados individuales. Note la frase opera en compañías líderes, eso es clave, porque muchas empresas confunden muchas reglas y procedimientos con la gobernanza efectiva. Si amarra a su personal en nombre de la seguridad, no ganará seguridad, y -de hecho- probablemente usted sea menos seguro, mientras la gente lucha por cumplir o, peor, deja de intentar en lugar de trabajar activamente alrededor de las barreras que usted creó.
La gobernanza eficaz significa permitir y animar a la gente a hacer las cosas correctas por el camino de menor resistencia cuando sea posible. Monitoree el rendimiento, eduque y capacite cuando sea necesario, y aplique tanto iniciativas y penalidades cuando ocurran incumplimientos.
Por ejemplo, si tiene muchos empleados que trabajan en el campo o en casa, ofrezca una opción de almacenamiento seguro en red que funcione con dispositivos populares, de modo que no estén tentados de usar uno propio o, peor, usar memorias USB, CD grabables y e-mails personales para mantener acceso a datos cuando no están en su escritorio. Haga algo de phishing interno para identificar empleados que necesitan más entrenamiento, o quizás imponga penalidades como la pérdida de bonos o inclusive la pérdida del puesto por reincidencia o por fallas flagrantes.
Vacunarse contra la gripe no le garantiza que no contraiga la gripe, pero es una herramienta poderosa que funcionará mejor si es combinada con una buena higiene y otras defensas. Algunas empresas desarrollan auto evaluaciones o contratan rutinariamente hackers éticos. Varios grupos industriales tienen evaluaciones que puede hacer, o contratar a un profesional para que las haga. Úselas. Las agencias de gobierno como el FBI también pueden ayudar.
Las tecnologías de monitoreo y de análisis de patrones, como DLP (data loss prevention), logging de base de datos, rastreo de eventos de seguridad y herramientas de información forense, también pueden ayudar. No son tan útiles como un escudo preventivo en tiempo real, pero pueden ofrecer el beneficio que realmente necesita: identificar robos de datos, tomar huellas, y ganar el útil entendimiento de cómo son movidos los datos, quién está haciendo qué con esto y cuándo está intentando abandonar sus sistemas.
La era digital llegó antes de que los profesionales de seguridad pudieran adaptarse
Es verdad que los esfuerzos para digitalizar los negocios durante las últimas dos décadas se han producido con rapidez y, a menudo de manera no tan obvia, hasta que se alcanzó un punto de inflexión. Es comprensible que el modelo de seguridad de la información no haya evolucionado tan rápidamente como el entorno en el que operan.
Pero es claro que la falta de igualdad es enorme, y la única vía razonable es adaptarse al nuevo ecosistema: cambie su enfoque hacia los riesgos y a las personas.
Es hora de dejar de tratar de proteger la información en la era de conexión a la red, de la misma manera que lo hizo en la era solo en el centro de datos. El enfoque de perímetro es equivalente a la filosofía de la Edad Media de proteger las ciudades con murallas cuando el enemigo tiene superioridad aérea.
Por supuesto, puede y debe poner un perímetro de defensa alrededor de los núcleos más importantes. El control de acceso es la mejor defensa, ya que mientras menos personas y dispositivos puedan acceder a lo que es verdaderamente importante, el riesgo intrínseco que usted tiene es menor. Si concede el acceso, debe confiar en aquellos que tienen el acceso.
Su atención debe centrarse cada vez más en riesgos integrales y en contar con gente más preparada en su estrategia de seguridad de TI. La seguridad de la información no es una política que se establezca una vez y ya puede olvidarse de ella, ni tampoco es un ejercicio tecnológico. Los riesgos cambian, la naturaleza de la información cambia, así como lo hace el contexto del negocio, las relaciones comerciales, y los contextos operativos. La gente siempre jugará alrededor de los obstáculos. Teniendo una organización en la que la conciencia de la seguridad de la información y la responsabilidad pertenece a todos, incrementa la posibilidad de que los desconocidos sean identificados más fácilmente.
Las empresas tienen que aceptar que se producirán pérdidas e infracciones, y así cambiar la mentalidad de la prevención absoluta por la de prevención específica, combinada con resiliencia y una noción de pérdida aceptable -el enfoque común de los sistemas biológicos y humanos.
Por 40 años, los esfuerzos de seguridad se han centrado en el equipo y, en menor medida, en los datos -la eliminación del factor humano en un intento de reducir las variaciones de sorpresa y de comportamiento. Eso fue un error. Su vulnerabilidad clave y las principales líneas de defensa son una y la misma: la gente. La seguridad es, en última instancia, una responsabilidad humana compartida por todos -no es solo un problema. La gestión de la mentalidad de seguridad debe hacerse estándar en toda la empresa, en donde la responsabilidad es real y la conciencia es alta. Se debe llegar a ese enfoque de en boca cerrada no entran moscas que los expertos en seguridad de defensa en general llaman un modelo de contrainteligencia.
No pretendemos sugerir que este cambio sea fácil y rápido. Pero es necesario.
Bud Mathaisel, Terry Retter, y Galen Gruman, InfoWorld (EE.UU.)
Bud Mathaisel es ex CIO mundial de Disney, Ford, Solectron y Achievo, que ahora investiga, escribe y hace consultoría en tecnologías de la información. También es miembro de la junta directiva y el comité de auditoría de E2Open y consejero especial para Honda Finance, América del Norte.
Terry Retter pasó 14 años como director del Centro de PwC para la Tecnología y la Innovación. Antes de eso, fue líder senior de TI de DHL y CIO en otras empresas. Actualmente Retter asesora empresas en el uso efectivo de Internet y marketing en medios sociales, en base a sus ocho años de operar una tienda en línea al por menor.
Galen Gruman es editor ejecutivo de InfoWorld que se centra en la consumerización de las TI y la tecnología móvil.