Llegamos a ustedes gracias a:



Reportajes y análisis

Seguridad 101

Un curso que toda empresa debe realizar

[15/06/2009] Instalar el último hardware y software de seguridad no significa nada si los usuarios finales no practican ciberseguridad. Y la mejor manera de hacer que ellos piensen en seguridad es crear una cultura continua la compañía.

Las apuestas son altas y se están volviendo cada vez más altas todo el tiempo. En enero, el Centro de Recursos para el Robo de Identidad (ITRC, por sus siglas en inglés) reportó que el número de robos de información en el 2008 se incrementó 47% en comparación con el 2007. La organización también reportó que 35,2% de las brechas de seguridad se debieron a un error humano.
Ponemon recientemente publicó un estudio mostrando que el costo promedio de un robo de información creció a 202 dólares por registro comprometido en el 2008, contra 197 dólares por registro en el 2007. Y el evento promedio de seguridad costó a las compañías individuales 6,6 millones de dólares por brecha en el 2008, de los 6,43 millones de dólares en el 2007 y 4,7 millones en el 2006.
Peor aún, las brechas de seguridad resultan en una pérdida de confianza en el consumidor, lo cual se traduce en clientes llevándose sus negocios a otra parte.
Así que, ¿cuáles son las claves para un programa de concientización de seguridad exitoso? Crear una cultura de seguridad empieza desde arriba, incluye individuos de todos los departamentos y grupos, está basada en una política predeterminada y controles subsecuentes, es consistentemente reenfocada, actualizada y es practicada diariamente.
La seguridad es el trabajo número uno
La seguridad de las computadoras es un objetivo de movimiento veloz. Hoy en día hay más amenazas, más vulnerabilidades, más dispositivos de almacenamiento portátil, y hay movilidad aumentada. También hay menos de una pared entre la vida personal de uno y la vida laboral. Las cosas que proteger y contra las cuales protegerse están cambiando.
Eso significa que educar a los usuarios finales sobre seguridad es más difícil, demandante y necesario que nunca antes. Hoy, los usuarios están más conscientes de las amenazas existentes, pero las amenazas son más sofisticadas y migran más rápido, señala Max Reissmueller, gerente senior de infraestructura IT y operaciones en Pioneer Electronics de Long Beach, California.
Reissmueller es responsable por la concientización de los usuarios finales sobre seguridad para aproximadamente mil 600 empleados en unas 15 ubicaciones en América del Norte. Pioneer Electronics tiene un consejo formal de revisión de seguridad que actualiza la política anualmente, y divulga los cambios a los usuarios finales.
Pero un enorme problema en lo que se refiere a entrenamiento de usuarios finales es que la seguridad no es el trabajo primario del usuario final. El usuario final no se dedica a la seguridad para vivir, así que su enfoque no está en cómo mantener la compañía segura, es cómo hacer mejor su trabajo, señala Reissmueller.
De hechos, expertos de la industria concuerdan en que la ingeniería social dificulta a las empresas mantenerse al día con el rápidamente cambiante panorama de la vulnerabilidad. No puedes esperar que los usuarios finales sean expertos en seguridad, pero puedes enseñarles cómo darse cuenta cuando algo luce sospechoso, y a quién llamar cuando un problema relacionado con seguridad aparece.
Otra clave es poner la concientización sobre seguridad en el contexto mayor de proteger los activos de la compañía, los ingresos de la compañía y la reputación de la compañía. La política es generalmente escrita con poca o ninguna consulta. Los usuarios finales reciben correos electrónicos para estar enterados sobre amenazas, pero no hay contexto, señala Sam Curry, vicepresidente, de administración de producto y estrategia en RSA, la división de seguridad de EMC en Bedford, Massachussets.
No solamente Curry cree que crear una cultura de seguridad requiere que se involucre todos los departamentos y grupos de la organización, pero es de suma importancia que los usuarios entiendan por qué sus acciones crean un riesgo para la organización.
¿Qué sucede cuando el riesgo de seguridad no es puesto en contexto para los usuarios finales? De acuerdo con la Encuesta 2008 de Amenaza de Informantes de RSA, la gente hará lo de siempre, sin importar el conocimiento de las mejores prácticas.
La encuesta, que consultó a  417 personas de Norteamérica y Latinoamérica, encontró que 94% estaban familiarizados con sus políticas de seguridad TI de sus organizaciones, sin embargo 53% sintieron la necesidad de trabajar alrededor de la seguridad TI para poder realizar su trabajo.
Mejores prácticas
Reissmueller de Pioneer dice que hay conformidad con la seguridad y conciencia de la seguridad, y no son la misma cosa. La conciencia de la seguridad no es un artículo para seleccionar. Tampoco es un evento de una sola vez al año, o incluso de dos veces al año. La conciencia de la seguridad debe ser continua, para mantener el conocimiento fresco y real en la mente del usuario final, señaló.
El entrenamiento empieza generalmente trabajando para lograr que los usuarios finales realmente entiendan por qué la conciencia de la seguridad es necesaria. Las organizaciones quieren que los usuarios interioricen el problema. Ellas quieren que los empleados hagan lo correcto porque es lo que se debe hacer, no porque los están vigilando, señala Mark Rasch, un abogado de Bethesda, Md., especializado en seguridad de computadoras y conformidad regulatoria. Rasch también fue el ex jefe de la unidad de crimen de cómputo del Departamento de Justicia de los Estados Unidos.
Un componente común del entrenamiento de la conciencia de seguridad es un DVD, video o módulo basado en web. Las compañías también requieren que todos los empleados lean y firmen documentos de políticas de internet y uso aceptable, y documentos de política de seguridad.
La política también debe reflejar la cultura de la compañía y sus valores, señala Rasch. Además, la política debe ser reforzada con entrenamiento. Cuanto más tiempo vaya una organización sin entrenamiento, mayor será la divergencia entre [la política] escrita y la que no está escrita, o la que los usuarios están siguiendo, añadió.
Muchas organizaciones ofrecen entrenamiento de concientización de seguridad. Por ejemplo, SCIPP International, una organización global sin fines de lucro en Viena, ofrece certificación de conocimiento de seguridad para individuos y organizaciones.
Entrenamiento práctico
En el 2005, el estado de Nueva York desarrolló un ejercicio antiphishing en conjunto con The Anti-Phishing Working Group, AT&T y el Instituto SANS. El ejercicio involucró a 10 mil empleados, quienes no estuvieron al tanto de que estaban participando en un ejercicio de seguridad.
En el ejercicio, 15% de los empleados cayeron víctimas de una conspiración de phishing. Después de que los resultados fueron cuadrados, estos individuos recibieron un mensaje informándoles que habían caído en un correo electrónico de phishing, y se les dirigió a una breve lección educativa sobre cómo estar más conscientes de las estafas de phishing.
La organización lanzó un diferente ejercicio en línea a la misma población de empleados dos meses después, y vieron una mejora de 50%. A los usuarios que fallaron el segundo ejercicio se les pidió participar en una encuesta de retroalimentación para determinar por qué actuaron como lo hicieron.
El objetivo del ejercicio era entender qué tan bien el estado se comunica y qué tan bien los usuarios aprenden, de acuerdo con William Pelgrin, gerente de ciberseguridad y director de la oficina de Nueva York de Ciberseguridad & Coordinación de Infraestructura Crítica de Albany, N.Y.
Decirle únicamente a la gente que el phishing está allá afuera no es muy efectivo. Es mejor para los usuarios tener una experiencia interactiva táctil, señaló.
Cambiando el comportamiento
Algunas actividades de bajo nivel que las organizaciones usan para crear un usuario final consciente de la seguridad son desplegar posters, correr banners en la intranet de la compañía, organizar un día de la conciencia de cómputo y distribuir material de entrenamiento en seguridad.
Una herramienta adicional de entrenamiento es correr escenarios simulados para reforzar qué buscar, qué acción tomar y a quién contactar. El usuario tiene que saber, esto es lo que tienes que hacer y por qué tienes que hacerlo, señaló Rasch.
También es importante para las organizaciones proveer entrenamiento basado en roles para los individuos con trabajos y responsabilidades específicos, señaló Mark Wilson, especialista de TI en seguridad de la información con la División de Seguridad de Cómputo de NIST en Gaithersburg.
Reissmueller toma un acercamiento múltiple a la concientización sobre seguridad, el cual incluye pruebas de penetración, porque él encuentra que la política y la educación solas no son suficientes.El objetivo es hacer a la concientización en seguridad una sociedad entre el usuario final y el negocio, algo que ellos hagan sin darse cuenta de que están pensando en ello, indicó.
Lynn Haber, Network World (US)