Cómo apestar en Seguridad de la Información

octubre 30, 2013 § Deja un comentario

Hace muchos años me topé con un texto que ha sido fuente de consulta y que lo he citado muchas veces desde aquel entonces en diversas charlas o capacitaciones en seguridad. Se trata de la guía “Cómo apestar en Seguridad de la Información” (How to suck at information security, en su idioma original) desarrollada por Lenny Zeltser y publicada por el SANS ISC. Es un excelente resumen de las principales cosas que no debemos hacer cuando gestionamos la seguridad de la información en la empresa. El listado consta de 52 cosas que no deberíamos realizar como CISO, oficial de seguridad o cualquier otro puesto relacionado. Aunque alguna que otra puede quedar un poquito obsoleta con el paso de los años, mayormente el listado sigue muy vigente. Rememorando dicho contenido (que puede ser consultado en su formato original en el enlace superior), se me ocurrió no solo compartirlo con ustedes sino también intentar identificar de esos controles, cuáles son a mi criterio (y por qué) los diez ejemplos más importantes de que estás apestando en seguridad de la información.
Esta es mi selección de entre todos los controles, que luego podrán ver segmentados en cinco categorías: Politicas de seguridad y compliance, Herramientas de seguridad, Gestión de riesgos, Seguridad operativa y Gestión de contraseñas. Ahora, sí, el TOP 10, cómo apestar en seguridad de la información.

  1. Crear políticas de seguridad que no puedes hacer cumplir: es un error muy frecuente en las organizaciones, pecar de “paranoicos” al momento de redactar las políticas pero después estas son tan poco aplicables y controlables, que pasan a ser un documento más de los que los usuarios ignoran día a día.
  2. Pagar a alguien para que cree tu política de seguridad sin conocimiento alguno sobre el negocio y sus procesos: tercerizar servicios en seguridad de la inforamción es una excelente solución para el amplio alcance de la materia hoy en día. Sin embargo, la redacción de las políticas de seguridad debe ser realizada con conocimiento del negocio y sus procesos y no puede ser realizada solo por un consultor externo (al menos que este haya pasado un proceso de mucho tiempo dentro de la organización).
  3. Instalar las soluciones de seguridad por defecto sin analizar previamente ni personalizarlas: es muy frecuente  encontrarnos en las empresas situaciones donde los clientes reclaman funcionalidades o configuraciones que nuestro producto ya posee, solo que deben ser administradas por los responsables de su gestión en las empresas. Es una situación cotidiana entre quienes proveemos software de seguridad y es un mal hábito no explorar el alcance de las soluciones y procurar personalizarlas para las necesidades de la empresa evitando la mera instalación por defecto.
  4. Ejecutar periódicamente análisis de vulnerabilidades pero no dar seguimiento a los resultados: muchas veces organizaciones realizan análisis de vulnerabilidades periódicos y los resultados no varían mucho de un análisis a otro. Invertir en este tipo de consultorías y no dar seguimiento es un claro ejemplo de cómo desperdiciar el dinero de la empresa, ya que siempre estos servicios requieren de trabajo posterior para dar seguimietno y corrección a los hallazgos y resultados de la consultoría.
  5. Poner a alguien responsable de la gestión de riesgos pero no darle a esta persona poder de decisión: otro error muy frecuente, tener gente muy especializada, que sabe hacer su trabajo pero que no tiene autoridad o poder de decisión en la organización. Es imposible un plan exitoso de Seguridad de la Información si no se cuenta con la autoridad suficiente para ejecutar el programa y alinearlo al negocio. Es otra forma de desperdiciar dinero, contar con una persona haciendo una correcta gestión de los riesgos pero una vez que los identifica y clasifica correctamente… no puede hacer nada.
  6. Asumir que no tenés que preocuparte por la seguridad porque tu empresa es “muy pequeña”: que tu empresa sea muy pequeña no significa que no poseas información de valor para el negocio, que amenazas masivas no podrían afectar la disponibilidad de los recursos o que empleados no podrían hacer un mal uso de la información que genere inconvenientes de integridad, solo por citar algunos casos. Los riesgos y los costos asumidos por los incidentes obviamente son proporcionales al daño de las empresas, por eso independientemente de lo grande o pequeña que sea tu organización, deberás contar con un programa de seguridad de la información acorde y proporcional a la magnitud del negocio, pero nunca será nulo el riesgo existente.
  7. Asumir que estás seguro porque no has sido “atacado” recientemente: aquí aparecen dos variables muy sencillas, o bien podrías ser atacado en breve y el hecho de no haberlo sido hasta ahora no garantiza que no lo serás (los ataques evolucionan, la suerte también puede influir), sino que además muchas veces uno ya fue atacado o un incidente ya ocurrió y lo desconoce, y esto también suele generar una falsa sensación de seguridad o tranquilidad.
  8. Configurar la infraestructura de forma tan complicada, que hacer el trabajo se convierta en algo muy dificil: la seguridad de la información debe dar soporte al negocio, debe siempre ser un apoyo a lo que sea que haga la organización. Los controles de seguridad siempre afectan la usabilidad pero debe hacerlo de forma cuidadosa para no descuidar lo más importante, el negocio. Si los controles de seguridad evitan los ataques pero afectan de forma importante la operatoria de la empresa, el programa de seguridad no será nunca exitoso.
  9. No seguir aprendiendo sobre seguridad y nuevos ataques: los atacantes (y ataques) evolucionan constantemente, no es posible tener un programa de seguridad de la información exitoso si no nos mantenemos en constante aprendizaje para acompañar la evolución de los ataques y las tecnologías para seguir garantizando una correcta gestión de los riesgos. Si tu CISO o equipo de seguridad no se capacitó el último año, probablemente ya haya algún riesgo en alguna de las tecnologías que no se esté considerando. La seguridad es un tema de aprendizaje constante y cotidiano.
  10. Imponer requerimientos demasiado complejos para las contraseñas: este tipo de requerimientos, generalmente, logra que los usuarios terminen adquiriendo malos hábitos en la gestión de las contraseñas (anotarlas, compartirlas, etc.). Es por ello que hay que encontrar el equilibrio en los requerimientos para las contraseñas como así también configurar nuevas tecnologías para la seguridad por contraseñas para optimizar los riesgos en este campo.

Para terminar, a continuación pueden ver los 52 errores más comunes que se cometen en Seguridad de la Información, el listado completo traducido al español.

Fuente: ESET Latinoamérica

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Cómo apestar en Seguridad de la Información en Seguridad Informática.

Meta

A %d blogueros les gusta esto: