Llegamos a ustedes gracias a:



Reportajes y análisis

Cumplimiento de las políticas de seguridad

Experto señala problemas con ellas

[25/03/2009] Los asistentes a la conferencia SecureWorld Boston escucharon una fuerte advertencia el miércoles por la mañana: el expositor principal, Charles Cresson Wood, señaló que las organizaciones necesitan poner orden en sus políticas de seguridad de la información o arriesgarse a perderlo todo.

El consultor independiente de seguridad señaló que demasiadas organizaciones tienen políticas de seguridad solamente en el papel y que no tienen los sistemas para asegurar su cumplimiento. Recordó la desaparición de Arthur Andersen y los problemas financieros de Cooper Tire como eventos causados en gran medida por las políticas problemáticas de destrucción de datos.
¿Sabe la alta gerencia de su compañía que el valor de mercado de su firma puede fácilmente evaporarse debido a problemas con la seguridad de la información?, preguntó. Estoy sugiriendo que tenemos un gran problema de cumplimiento, cuando hablamos de políticas de seguridad de la información, afirmó.
Lo que se necesita es que las compañías vuelvan a lo básico en políticas de seguridad de la información, señaló Cresson Wood, autor de numerosos libros sobre el tema, y recientemente activista de los combustibles alternativos como plan de contingencia. Las partes más importantes de esto incluyen la concientización y capacitación del usuario final, y asegurarse que los departamentos de TI se adhieran a las políticas de seguridad, indicó.
Un gran problema es que las políticas de seguridad aún son demasiado dependientes de las personas, señaló Cresson Wood. Si deseas un alto nivel de cumplimiento no confíes en los humanos para que hagan el trabajo, afirmó.
Las cosas van demasiado rápido en la seguridad de la información. Una respuesta manual ante un ataque de bloqueo de servicios, por ejemplo, es inconcebible, añadió.
Se necesita usar un sistema de cumplimiento escrito y automatizado, soportado por sistemas de detección de intrusos, prevención de intrusos y otras herramientas, indicó Cresson Wood. Los dispositivos de seguridad documentarán y responderán por las políticas, produciendo evidencia admisible que puede ser utilizada si ocurre un desastre y se producen problemas legales. Algo así como una caja negra cuando un avión cae, afirma.
Incluso, compañías que tienen políticas de seguridad de la información generalmente no alinean esas políticas con la realidad de la empresa. Como ejemplo, describió una situación en donde un vendedor podría tener más incentivos (una cuota de ventas) para revelar información confidencial sobre un producto a un cliente potencial, que para cumplir con la política de seguridad de la compañía que prohíbe divulgar tal información.
Sería tiempo y dinero bien invertido volver y ver si su política de seguridad de la información es consistente con las necesidades de su empresa, señaló Cresson Wood. No ofreció ninguna solución para hacer esto en el actual clima económico, solo señaló algunos estudios que muestran un mayor ROI al implementar buenas políticas.
Sincronizar la política con la cultura corporativa es fundamental
En muchas firmas, aún se comportan como policías, indicó. Esto establece una cultura de resistencia y contragolpe. Uno necesita fomentar un ambiente de objetivos compartidos.
Otro problema con las políticas de seguridad hoy es que las compañías tienen demasiadas. Necesitamos deshacernos de varias de ellas de tal forma que podamos simplificarnos y enfocarnos, afirmó.
Lo que Cresson Wood quisiera ver en las políticas de seguridad es una parametrización de ellas, de tal forma que se puedan detallar diferentes reglas de seguridad para diferentes personas o departamentos dentro de la organización. Por ejemplo, una contraseña de ocho caracteres podría ser suficiente para algunos empleados, pero no para aquellos con privilegios de administradores de red, que requieren una autenticación de dos factores. El una talla para todos ya no funciona, advirtió.
Cresson Wood también cree en las estrategias de seguridad de defensa en profundidad que incluyen múltiples capas de protección. Dijo que tales políticas de seguridad serán vitales para las organizaciones, ya que éstas deberán cumplir con más regulaciones industriales y gubernamentales, incluyendo una posible expansión de la ley Sarbanes-Oxley que incluya la seguridad de la información dentro de diez años.
Bob Brown, Network World (USA)