Llegamos a ustedes gracias a:



Reportajes y análisis

Modelo de seguridad de la información

¿Qué tan flexible debería ser?

[10/11/2016] La seguridad es una de las prioridades principales en el Bank of Labor; sin embargo, esta institución financiera actualiza su política formal de seguridad de la información solo una vez al año, quizás dos, sin importar lo que esté sucediendo en el siempre cambiante panorama de las amenazas.

Eso no significa que el banco ignore las amenazas emergentes, como podrían ser las nuevas variantes de malware o los esquemas de phishing, afirma Shaun Miller, oficial de seguridad del banco. Por el contrario, la organización, que tiene siete sucursales en el área de Kansas City, además de una oficina en Washington, ajusta rutinariamente sus sistemas de firewalls y protección contra intrusión como respuesta a las amenazas nuevas y activas. Sin embargo, para evitar fatigar a sus 120 usuarios, el banco se abstiene de formalizar las nuevas políticas con mayor frecuencia.

"El propósito de nuestra política es estar en un nivel alto, no cubrir todas las eventualidades que podrían haber. "Actualizamos los procedimientos tácticos para el día a día, pero cuando se trata de nuestra dirección estratégica en cuanto al avance de la seguridad, cambiamos nuestras políticas de manera limitada para no abrumar a los usuarios.

El Bank of Labor no es el único. Dada la velocidad de los cambios en el panorama de las amenazas, puede ser difícil para una compañía modificar algo tan rígido como el modelo corporativo de seguridad, para mantenerse al ritmo de cada nuevo vector de ataque. En una encuesta reciente realizada por las revistas Computerworld, CIO y CSO a profesionales de TI y de negocios que trabajan en Estados Unidos, 33% de los encuestados dijeron que ellos trabajan para organizaciones que han tenido instaurado el mismo modelo para la administración de la seguridad de la información por lo menos por cinco años. Mientras tanto, el 23% dijo que su modelo había estado vigente de tres a cinco años, 33% dijo de uno a tres años, y solo un 11% dijo menos un año.

Sin embargo, el 50% de esos encuestados dijeron que sus organizaciones están considerando hacer cambios en sus modelos de administración de la seguridad de la información. Cuando se les preguntó qué factores están llevando a que sus empleadores consideren un cambio, las tres respuestas principales fueron las preocupaciones respecto a las intrusiones y la pérdida de datos (mencionada por el 78% de los 144 encuestados), actualizaciones y avances de la tecnología (53%) y cumplimiento regulatorio (49%).

Prácticas de seguridad

No se sabe con certeza qué tan frecuente se deben adoptar cambios en las políticas de la seguridad de la información. Las compañías tienen que pensar en una manera de mantenerse flexibles, para asegurar que sus políticas y procedimientos reflejen el panorama de las amenazas, pero no pueden instaurar muchas reglas nuevas que causen frustración a sus usuarios, e involuntariamente los fuercen a evadir las reglas corporativas, explica Kelley Mak, analista de Forrester Research.

Al mismo tiempo, las compañías tienen que lograr un balance entre utilizar tácticas reactivas para encarar las amenazas más recientes y tratar a la política de la seguridad de la información como una estrategia completa, afirma Mak. "No es tan simple como tomar los datos y hacer una nueva política, porque tiene que asegurarse de que los trabajadores de la información no se vean alterados, afirma. "Mientras más restricciones establezca, mayor será la probabilidad de que alguien las evada.

Llenar las brechas del día a día

Eso es exactamente lo que Miller está tratando de evitar. El Bank of Labor mantiene una política de seguridad de la información que se encarga de los problemas de alto nivel, incluyendo la postura general del banco en cuanto a seguridad y reglas generales, como el mandato que le exige a los empleados utilizar contraseñas para acceder a los datos. Las políticas, que son puestas en práctica solo después de haber sido aprobadas por el directorio, no se adentran en la maleza de la tecnología o enuncian detalles como los requerimientos de letras para las contraseñas (algo que de todas formas podría cambiar en el futuro).

Para complementar las políticas generales, el grupo de Miller modifica las reglas regularmente para combatir las brechas de seguridad actuales. Recientemente, el equipo de seguridad bloqueó el uso de Flash debido a sus muy conocidas vulnerabilidades, y porque ya casi no se utiliza en sitios web relacionados a negocios, señala Miller. "No consideramos eso como un cambio en la política, indica Miller. "Nuestro directorio aprueba la política, y ellos no saben qué es Flash o qué es lo que hace. Es solo un ejemplo de una respuesta simple del día a día para las amenazas cuando se presenta la necesidad.

Para mantener a las personas informadas sobre las actualizaciones, Miller envía mensajes de correo electrónico anunciando los cambios y explicando por qué son importantes. Él dice que incluye enlaces hacia la información de fondo, Miller explica que asegurarse de que las personas entiendan por qué los cambios son necesarios y ser claro sobre los riesgos ha sido fundamental para evitar la frustración de los usuarios y asegurar que los empleados estén dispuestos a cumplir hasta el más pequeño cambio en la política.

Pruebas, pruebas, pruebas

Devin Meade, gerente senior de sistemas a cargo de la seguridad en Frankfurt Short Bruza (FSB), afirma que él prefiere mantener fluida la política de seguridad porque la firma de planeamiento de ingeniería arquitectónica es relativamente pequeña (tiene 150 usuarios) y no se encuentra directamente afectada por requerimientos regulatorios. Aunque FSB sí cuenta con una política formal de seguridad que es aprobada por un directorio, Meade y su equipo hacen recomendaciones frecuentes para procedimientos nuevos, usando un pequeño comité directivo de cerca de media docena de usuarios para solicitar una retroalimentación antes de desplegar los cambios a una audiencia más amplia.

Prácticas seguridad

"Nuestra manera estándar de hacer actualizaciones o cambios en nuestra postura respecto a la seguridad, es haciendo pruebas en una máquina para ver cómo funcionan y para desplegarlos en un grupo representativo de personas, explica. El comité directivo después prueba los cambios para determinar qué va a funcionar con los usuarios de FBS y qué no.

Por ejemplo, Meade y su equipo recomendaron incrementar el cifrado. Pero durante las pruebas del comité directivo, se encontró que los cambios hacían que el acceso VPN fuera demasiado inestable y lento, así que el equipo de Meade regresó a la pizarra de bocetos. Fue una historia parecida cuando el equipo intento reforzar las listas blancas y negras para restringir el acceso de los usuarios a los sitios inapropiados para el centro de trabajo. Esa estrategia, afirma Meade, no funcionó como se esperaba, porque la tecnología involucrada no fue lo suficientemente madura para ese entonces.

Los cambios en los procedimientos o en la política de seguridad de la información en la compañía son implementados solo después de ser aprobados por el comité directivo de FSB. "Mi trabajo es informar (al equipo ejecutivo y a los patrocinadores de negocios) sobre lo que podemos hacer y lo que sería el proceso si es que hiciéramos los cambios, afirma Meade. "Debido a que somos una firma pequeña, podemos realizar modificaciones junto con los cambios de tecnología.

La mayoría de organizaciones no son tan ágiles como FSB y no actualizan las políticas de seguridad con la frecuencia suficiente, y muchas no prueban los cambios para medir lo que es efectivo y lo que no genera demasiada carga, señala Mak de Forrester. "No encontrará muchas organizaciones que hagan la cantidad suficiente de estudios para identificar vulnerabilidades, así que no hay un entendimiento preciso de cuál es el efecto en el ambiente desde el lado humano, indica.

Mak aconseja a las compañías crear programas de concientización sobre la seguridad que no solo proporcionen dirección a los empleados, sino que también resalten la importancia de adoptar una cultura seria de seguridad.

Base: 144 encuestados cuyas organizaciones están considerando hacer cambios en su modelo de administración de seguridad de la información. Se permitieron respuestas múltiples.
Prácticas seguridad
Integrar a los usuarios

Ese enfoque se aplicará pronto en la Fay School. Al igual que el Bank of Labor, la escuela realiza actualizaciones menores frecuentes a sus procedimientos de seguridad de la información para mantenerse al día con las amenazas emergentes, y realiza cambios mayores en la política algunas veces al año para no abrumar a los usuarios, afirma Joseph Adu, director de tecnología en la escuela privada de Southborough, Massachusetts, que ofrece desde prekinder hasta el noveno grado. Abu, que proviene del sector comercial, se integró hace un año y se encuentra desarrollando las políticas de TI de la escuela en base a su experiencia en los negocios. Entre otras cosas, está haciendo un esfuerzo intenso para ayudar a que los empleados se sientan involucrados en la seguridad.

Este año académico, los 150 miembros del personal y los catedráticos participarán en sesiones de entrenamiento presencial y digital que se repetirán anualmente para cubrir los cambios importantes en la política de seguridad de la información, afirma Adu. Adicionalmente, un nuevo plan que se efectuará este año solicita que los empleados pasen por un entrenamiento de concientización sobre la seguridad apenas sean contratados. Entre otras cosas, esto significa que el personal nuevo sabrá desde el comienzo que compartir información personal en masa vía correo electrónico está prohibido, y ellos entenderán cómo la escuela clasifica ciertos tipos particulares de datos y por qué.

Adu dice que presentar las políticas de seguridad en el momento de la contratación es una manera de adoctrinar a los usuarios sobre la cultura corporativa, y les hace sentirse responsables de mantener los mejores procedimientos de seguridad. Asimismo, las personas generalmente son más abiertas a ser instruidas cuando recién se incorporan, así que es más probable que acepten y se rijan según las políticas. (La escuela también provee entrenamientos cortos para sus 400 estudiantes, donde se cubren temas básicos de seguridad, como la regla de no compartir contraseñas).

"Estamos intentando crear una cultura donde las personas sepan que pueden contar con el área de TI para mantenerse al día en lo que está sucediendo, señala Adu. "Pero también necesitan entender que la seguridad de los datos es una parte importante de trabajar en esta organización y ellos cumplen un rol. La parte más difícil es hacer que las personas se den cuenta de que, como usuarios finales, mucha de la responsabilidad recae en ellos.

Beth Stackpole, Computerworld (EE.UU.)