“En la mayoría de los casos, la importancia de la seguridad de TI en las empresas se basa en el conocimiento, mientras más conozca el personal más segura estará la organización”, comenta David Montoya, Director Regional de Paessler América. Para ello, el directivo, hace las siguientes recomendaciones:
- Tener pautas claras e información transparente: Para garantizar mayor seguridad de TI, a pesar de los recursos financieros limitados, las compañías deben crear pautas de seguridad de TI fáciles de entender para la orientación de los empleados; además de hacer que cada nuevo empleado firme un acuerdo de confidencialidad, claro y de pocas hojas, que aporte mayor seguridad a la empresa a través de medidas de un proceso integrado de control.
- Uso cuidadoso de las redes sociales: Los directores generales y gerentes de TI deben pedir a sus empleados que compartan información relacionada con el trabajo profesional sólo con gran moderación, o nada en absoluto, en los canales de medios sociales. Esto también incluye datos de contacto de colegas. Los delincuentes cibernéticos utilizan esta información para obtener acceso a la empresa y sus redes. Por lo tanto, siempre se debe verificar la identidad de los extraños antes de aceptar una solicitud de red.
- Precaución con la información confidencial en público: Los empleados deben ser conscientes de que las reglas de comunicación pública son diferentes de las que se encuentran detrás de las puertas cerradas en sus propias oficinas. Capacite a sus empleados para que no divulguen información interna en público.
- Entrenamientos regulares: Sin empleados atentos y vigilantes, las empresas no pueden llevar a cabo un plan de seguridad de la información. Incluso un clic descuidado en un archivo adjunto de correo de una persona desconocida o una nota con contraseñas o datos de acceso en el escritorio siguen siendo puertas de enlace comunes. Si es necesario, utilice consultores externos para capacitar al personal, así, usted puede cerrar las brechas de conocimiento de sus empleados individualmente.
Medidas técnicas
La creación exitosa de la conciencia de los empleados es un paso importante hacia la seguridad de TI. A continuación, hay algunas medidas técnicas para apoyar esta sensibilización, señala Montoya:
Complejidad de la contraseña y autenticación de dos factores: Un requisito fundamental para proteger los datos confidenciales es la restricción del acceso.
La variante más básica es la protección con contraseña. Cuanto más sensibles sean los recursos por proteger, mayores serán los requisitos de seguridad para las contraseñas. Para cumplir con los requisitos de seguridad más altos, una contraseña debe tener al menos ocho caracteres.
Además de usar contraseñas complejas, los sistemas de TI confidenciales deben protegerse mediante la autenticación de dos factores. Con la autenticación de dos factores, el proceso es el siguiente: usted ingresa su nombre y contraseña como de costumbre para iniciar sesión.
Se solicita una característica adicional, como un PIN de token. Es importante que las dos características de autenticación sean factores diferentes. Ejemplos de componentes de autenticación de dos factores son posesión (contraseña, PIN, TAN), conocimiento (clave, token, tarjeta) o una característica biométrica (huella digital, patrón de Iris).
El principio de privilegios mínimos: Cuando se trata del acceso a datos, es mucho más seguro y confiable denegar todos los accesos de forma predeterminada, permitiéndolo siempre que sea necesario, caso por caso.
En consecuencia, todos sus usuarios sólo tendrán los privilegios necesarios, permitiéndoles acceder a los datos requeridos para su trabajo. Esto le dará la oportunidad de evitar fugas de datos accidentales y la eliminación de datos por parte de los empleados que no deben trabajar con esta información en primer lugar.
Principio de aprobación múltiple: Es importante centrarse aún más en las medidas de control interno e integrarlos en los procesos de negocios, especialmente cuando se accede a datos confidenciales. En otras palabras, el acceso a sistemas o datos importantes siempre debe ser aprobado por al menos una segunda persona, y posiblemente también por el departamento correspondiente.
Ingeniería social: Para proporcionar medidas técnicas para la ingeniería social además del conocimiento del usuario, se necesitan métodos más complejos. Una posibilidad es la firma digital de correos electrónicos. La validez del remitente se verifica criptográficamente. Esta validación se realiza, por ejemplo, mediante una solución especial de correo seguro.
Monitorización universal: La protección integrada de TI se completa con soluciones innovadoras de monitorización y detección de intrusos. En tiempos de acceso controlado por autorización a TI, la cantidad de datos de inicio de sesión está creciendo rápidamente.
A nivel técnico, los sistemas de Gestión de Identidad y Acceso (IAM) y de Gestión de Información de Seguridad y Eventos (SIEM) apoyan la monitorización. Ellos se pueden utilizar para controlar las autorizaciones de los empleados y monitorizar permanentemente los sistemas. Además, las irregularidades se pueden identificar mucho más rápido y las alertas se generan automáticamente.
Métodos organizacionales
Empleados satisfechos y motivados: Las directrices establecidas por la empresa y el marco legal son la red de seguridad básica. Una comprensión correcta de la seguridad de TI, que ilustre vívidamente los riesgos en la empresa y que ofrezca soluciones adecuadas, combinada con un alto nivel de satisfacción de los empleados, es uno de los mejores métodos para prevenir problemas.
Cuidado con los espías: Tenga en cuenta el espionaje industrial. Lo que solía ser el dominio de unas pocas empresas grandes ahora también es una preocupación para las compañías más pequeñas en un momento de empresas incipientes altamente exitosas.
Este método para obtener conocimiento injustamente y comprometiendo a las empresas desde dentro todavía se utiliza en la práctica. Sin embargo, no siempre tiene que ser un empleado el que se ha infiltrado en una empresa. También es fácil convencer a los antiguos empleados de revelar secretos comerciales a una empresa nueva. Cuanto más alto sea el puesto en la compañía anterior, mayor será la posibilidad de que el empleado tenga información confidencial.
Contrate un CISO
Además del Director de Información (CIO), también debe crearse un puesto separado para un Director de Seguridad de la Información (CISO). Debido a la complejidad del área de responsabilidad, el CIO generalmente no tiene la posibilidad de cumplir con todos los requisitos con la intensidad adecuada.
Las operaciones de TI generalmente reciben la máxima prioridad, por lo que los problemas de seguridad a menudo se dejan atrás o sólo avanzan muy lentamente.
El CISO es responsable del desarrollo y la definición de objetos, amenazas y riesgos relevantes para la seguridad y los objetivos de seguridad derivados de ellos. La presentación de reportes de un CISO generalmente se lleva a cabo directamente a la Junta Ejecutiva (CEO), porque es responsable de la gestión de riesgos de todos los activos de información de una empresa.
En caso de emergencia
Montoya afirma: “a pesar de una preparación cuidadosa y una planificación intensiva, los eventos aún ocurrirán en la carrera de todos los administradores que no se definieron y se la jugaron de antemano. Si una emergencia ocurre repentinamente, hay una cosa por encima de todo: mantener la calma, recurrir a los planes y procedimientos de emergencia y hacer un seguimiento de la situación”.
Como en la mayoría de las situaciones de emergencia, las decisiones apresuradas son contraproducentes. Además, la mayoría de los administradores en una emergencia real no están equipados con un conocimiento experto profundo y detallado.
Hay profesionales para todas las situaciones, incluyendo empresas y personas que se especializan explícitamente en el tratamiento de emergencias de TI. En el peor de los casos, no dude en llamar a expertos externos. Idealmente, ya debería tener algunas direcciones de compañías de seguridad de TI en sus documentos de emergencia a las que pueda contactar rápida y fácilmente en caso de emergencia.
“Como administrador de TI o administrador de seguridad de TI siempre está caminando constantemente por la cuerda floja. A los usuarios se les debe dar la mayor flexibilidad posible en sus negocios diarios, pero, se debe enfocar en la seguridad de TI ideal e integral. Encontrar un equilibrio adecuado entre ambos factores es y sigue siendo el desafío emocionante que los administradores deben enfrentar todos los días”, Montoya concluye.