Llegamos a ustedes gracias a:



Columnas de opinión

¿Es usted adicto a la inseguridad informática?

Por: Ben Rothke, consultor de seguridad de BT Professional Services

[03/08/2009] La conclusión de un reciente estudio desafía la razón: cerca de la mitad de los 154 fumadores que habían sido operados para detener un incipiente cáncer de pulmón recayeron en el vicio antes de que pasaran 12 meses de su intervención, y más de la tercera parte volvió a fumar después del primer año.

En realidad, 60% de los pacientes que volvieron a fumar lo hicieron durante los dos meses que siguieron a la operación. El estudio, realizado por investigadores de la Escuela de Medicina de la Universidad de Washington y publicado en Cancer Epidemiology, Biomarkers & Prevention, confirmó que las conductas adictivas no cambian fácilmente.
El director del estudio, el doctor Mark Walker, psicólogo clínico y profesor asistente de medicina en la Universidad de Washington, lo resume con más claridad: "Todos los pacientes son adictos, así que no tiene sentido asumir que vayan a cambiar de comportamiento de un día para otro solo porque se salvaron de esta. Sus decisiones, asegura, están guiadas por una insidiosa necesidad de nicotina.
En el mundo de las TI, demasiadas organizaciones son adictas no a algo tan tangible como un cigarrillo, sino a la inseguridad. Mientras los fumadores obedecen al deseo de nicotina, pese al riesgo para su salud; en lo que respecta a las tecnologías de la información los usuarios se dejan llevar por el ansia de obtener acceso fácil a sus datos, despliegue rápido y usabilidad; en desmedro de la confidencialidad, la integridad y la disponibilidad de esos datos. Por lo general, estas organizaciones son conscientes de los riesgos de subestimar el criterio de seguridad -muchas incluso han sufrido pérdida de data y contagios maliciosos-, pero insisten en sus dudosos métodos a pesar de las evidencias sobre el peligro que representan. Aunque han pasado varias décadas desde la revolución de las TI, muchas compañías todavía no adoptan los fundamentos de la seguridad informática.
Cada año aparecen mejores y más atractivas herramientas y tecnologías de seguridad y privacidad, pero es muy poco lo que ha cambiado respecto a la cantidad de organizaciones que se toman en serio la seguridad de su información. Según la revista Forbes, durante el 2008, los bancos perdieron más información personal de sus clientes que nunca antes en la historia. Teniendo en cuenta esta tendencia, y a la luz del deterioro de la situación económica, es muy probable que el 2009 sea el peor año en los récords de seguridad y privacidad de datos.
No es fácil lograr que una organización abandone su adicción a la inseguridad. Se dice que las actividades adictivas producen en el cerebro beta-endorfinas que elevan las emociones a un pico muy alto. Solo que los picos de la inseguridad pueden incluir cuestiones legales, sanciones regulatorias, mala imagen y mucho más. Para que una compañía logre evolucionar hacia un entorno seguro, es necesario comenzar por los siguientes aspectos:
Tiempo
En el nivel macro, el tránsito hacia la seguridad exige paciencia. Si bien los proveedores de seguridad promocionan dispositivos que se pueden instalar en minutos y otras charlatanerías por el estilo, lo cierto es que una construir una cultura y una infraestructura de seguridad toma tiempo. ¿De cuánto tiempo estamos hablando? En todo caso, no de meses sino de años. Casi como la cantidad de esfuerzo que se requiere para dejar de fumar. Aunque hay quienes pueden lograrlo rápidamente, la mayoría debe hacer enormes sacrificios, y apelar a diferentes recursos durante varios años.
Muchas organizaciones han vivido por décadas -y más- en la inseguridad. Es imposible corregir eso en una noche. Por eso, hay que pensar en grande y a largo plazo. La seguridad y la privacidad son procesos de largo aliento que requieren mucha dedicación. Algunos aspectos se pueden resolver rápidamente pero, en general, cuando se trata de seguridad es mejor ir con pies de plomo.
¿Y dónde está el CISO?
El CISO (Chief Information Security Of?cer) no solo es el gurú de seguridad de toda compañía. Un buen CISO es responsable de la planificación estratégica, la negociación especializada y la resolución de problemas, tanto en torno a la seguridad como a la privacidad y la administración de riesgos.
Solo una persona con sólidos conocimientos de negocios y seguridad puede encargarse adecuadamente de planificar la seguridad, implementar directivas y seleccionar las medidas apropiadas para los requerimientos del negocio. Un buen CISO debe tener un profundo conocimiento de tecnología, combinado con una comprensión cabal de las funciones de la organización, sus políticas y los giros del negocio.
Un buen CISO, por ejemplo, es aquel que está consciente de la imperativa necesidad de asegurar las aplicaciones de negocios en el entorno actual. Hasta hace poco, el concepto de seguridad se limitaba a proteger el perímetro. Ahora, el perímetro ha colapsado, y en algunas empresas ha desaparecido completamente. Por lo tanto, resulta crucial proteger la aplicación.
El último Reporte de Ataques de Seguridad en Internet de Symantec precisa que actualmente las aplicaciones son el blanco de más del 60% de los ataques. Son demasiadas las organizaciones que todavía se concentran solo en la infraestructura, y dedican una cantidad desproporcionadamente pequeña de tiempo y recursos a la seguridad de las aplicaciones.
Una excelente guía es The New CISO's Crucial First 100 Days (Los primeros y cruciales 100 días del nuevo CISO) de Gartner. Este reporte señala que un nuevo CISO debe sacarle el mayor provecho a esa etapa (sus primeros días de trabajo) porque representa la primera -y a veces la última- oportunidad de encaminar los procesos y tecnologías de seguridad de la empresa en un rumbo adecuado.
La moraleja es que sin un CISO eficiente que supervise, administre y refuerce la seguridad de las TI, y que tenga presencia en el directorio, cualquier compañía no solo será víctima de violaciones de información y de fallas imprevistas, sino que se convertirá en un imán para todo tipo de ataques.
Administración de riesgos
Es indispensable que el programa de seguridad esté basado en un efectivo programa de administración de riesgos. ¿Qué amenaza es más grave para una organización: un hacker de Estonia o un empleado temporal de la sucursal? Imposible conocer la respuesta si no contamos con un programa integral de administración de riesgo, que se base en la identificación, el análisis, el control y el monitoreo de los riesgos. Y si no sabemos esto, nada garantiza que no terminemos combatiendo riesgos inexistentes.
No se equivoca Khalid Kark, de Forrester Research, cuando afirma que la verdadera administración de riesgos tiene poco que ver con la tecnología: en realidad, consiste en definir un riguroso proceso para identificar, medir y reportar de manera consistente los riesgos de información de la organización, así como tener interacciones regulares con el área de negocios para evaluar la posición de la empresa respecto al riesgo.
Fuerza de choque
Las guerras comienzan mayormente en el aire, pero las batallas más duras suelen librarse en tierra. Los productos de seguridad son como la fuerza aérea: elegantes y poderosos. Pero para una eficiente seguridad de la información se necesita tropas terrestres, algo así como los soldados de la seguridad (también conocidos como el departamento de ingeniería de seguridad).
Los ingenieros de seguridad no solo son invalorables, sino que también marcan la diferencia entre brindar una seguridad a prueba de todo, y tener un hardware y un software de seguridad que cumpla con lo mínimo indispensable. El gran error de las compañías es pretender que los productos de seguridad resuelvan sus problemas de seguridad sin la intervención de buen personal de seguridad.
Políticas, procedimientos y alertas
Las políticas de seguridad son muy simples: definen los objetivos y metas de seguridad para el negocio.
El siguiente nivel son los procedimientos de seguridad. Los procedimientos efectivos (también conocidos como SOP-Standard Operating Procedures) garantizan que, por ejemplo, el administrador de Chicago construya y configure un firewall corporativo, con los mismos criterios que su colega de Tokio.
Las organizaciones que se toman el tiempo y el esfuerzo de crear SOP formales demuestran un verdadero compromiso con la seguridad. Al crear SOP reducen costos drásticamente -el ROI (retorno de la inversión, por sus siglas en inglés) es excelente- y su nivel de seguridad se refuerza de forma significativa.
La aviación es un buen ejemplo de industria que vive y muere (literalmente) gracias a sus SOP. Los SOP se construyen en base a requerimientos de trabajo y regulaciones. Aunque no es tan compleja de manejar como un Boeing 777, la seguridad de la información también requiere SOP apropiados.
Las alertas de seguridad también son esenciales y sus riesgos asociados pueden pasar desapercibidos para cualquier usuario final promedio. Su importancia radica en que representan la primera línea de defensa de la organización. Un error común entre los CISO es tratar las alertas de seguridad como un programa de talla única, es decir que se puede utilizar en cualquier caso. La capacitación del personal debe adaptarse a las necesidades particulares de cada área. Es indispensable que el programa de alerta refleje esta diversidad. En resumen: evite las plantillas genéricas.
Conclusiones
Si bien la seguridad informática es un desafío complejo, la inseguridad puede resultar mucho más peligrosa para cualquier compañía. El reciente ataque sufrido por Heartland Payment Systems no solo demuestra que decenas de millones de tarjetas de crédito y de débito están en riesgo, sino también que los sistemas inseguros perjudican a todos, desde el CEO, cuyo puesto está en juego, hasta el usuario, que tiene que lidiar con las consecuencias del ataque.
Cada violación de seguridad es una señal de alarma, pero son muchas las compañías que no le prestan la menor atención. Estamos en el 2009 y las organizaciones deben comenzar a preocuparse, de lo contrario el resultado será tan predecible como la recaída de una persona con conductas adictivas.
Ben Rothke es consultor de seguridad de BT Professional Services. Ha escrito el libro Computer Security: 20 Things Every Employee Should Know (McGraw-Hill Professional Education) (McGraw-Hill).
CSO, US