Llegamos a ustedes gracias a:



Noticias

CISO de Intel: La mayor amenaza a la seguridad es no entender los riesgos

[17/09/2010] ¿Cuál es la vulnerabilidad más significativa que la seguridad de la información enfrenta en la actualidad y enfrentará en el futuro? De acuerdo a Malcolm Harkins, CISO de Intel, la mayor de las amenazas que enfrenta la infosec es la mala percepción del riesgo.

Harkins habló el jueves en el Forrester Security Forum 2010 en Boston y les preguntó a los profesionales de la infosec que asistieron, que ponderaran cuál pensaban que era la mayor amenaza que estaban enfrentando dentro de sus organizaciones. Muchas personas respondieron: algunos sugirieron las amenazas internas y las personas al interior de la organización. Harkins concordó en que son de hecho las personas, pero no quizás por las razones por las que los participantes tenían en mente. En cambio, afirmó, tanto la exageración como la subestimación del riesgo en la mente humana es lo que nos deja más vulnerables al peligro.
Hay dos cosas que generan la mala percepción: la Economía y la Psicología, señaló Harkins. Cuando se trata de la Economía, las elecciones son realizadas por los tomadores de decisiones en base a como se ven afectados por los incentivos y los recursos.
Como profesional de la seguridad, comencé a pensar en el hecho de que somos arquitectos de elecciones. Estamos intentando hacer que las personas piensen acerca de cosas y tomen decisiones, dijo.
Desde la perspectiva de la Psicología, mientras más beneficios perciba una persona mayor tolerancia tendrá al riesgo. Algunos ejemplos de esto pueden ser los casos en los que las organizaciones adoptan tecnologías como la cloud computing, la virtualización y los medios sociales. Todas presentan grandes ventajas al negocio, así que los riesgos a la seguridad que presentan son aceptables, señaló Harkins.
Pero donde se complican las cosas es en la forma en la que las personas perciben el riesgo de estas tecnologías. Subestimarlas significa que la organización podría no estar adecuadamente preparada para algunos tipos de incidentes de seguridad. Y sobreestimar el riesgo significa que la organización podría estar prestándole demasiada atención a un área y descuidando otra.
¿Cuántos de nosotros recibimos correos electrónicos de gerentes que quieren saber que estamos haciendo acerca de algo que vieron en el periódico, el riesgo del día?, preguntó Harkins. Ese tipo de exageración puede ser tan frustrante como la subestimación.
Lo que es necesario para que la seguridad equilibre estos dos extremos y mitigue la vulnerabilidad por no percibir bien al riesgo es la objetividad, agilidad, e influencia, señaló. Describió cuatro importantes componentes para implementar estas características en el trabajo diario como profesional de la seguridad. Estos son:
* Predicción: Usar medidas proactivas para identificar a los atacantes y sus motivos y sus métodos.
* Persistencia: Tener los medios y la estamina para sostener el compromiso con otros tomadores de decisiones en la organización.
* Paciencia: Conducir la persistencia con paciencia. No ser alarmista, indicó Harkins. Esperar calmadamente hasta que la oportunidad surja nuevamente para tener un caso.
* Preparación: Estar listo para responder rápidamente a un evento o para enfrentar una vulnerabilidad.
Si hace esto correctamente, seguirá ganando influencia en su empresa. Ellos lo verán como el socio de negocio que los ayuda a protegerse, sostuvo Harkins. No tome el enfoque de la víctima para manejar el riesgo y la seguridad de la información.
Joan Goodchild, CSO (US)