¿Por qué algunas medidas de seguridad crean más problemas de los que resuelven?

Durante varios años, los especialistas en seguridad de la información nos rompimos la cabeza para lograr concientizar a los directivos de las empresas acerca del valor de su información y, por lo tanto, lo importante que es protegerla.

Hablamos incontables veces de los pilares de la seguridad de la información: privacidad, confidencialidad, integridad; enumeramos los riesgos a los que estaban expuestos y los problemas que genera una fuga de información; les mostramos el daño que puede causar un ataque informático, tanto a la operatoria como a la imagen de la empresa y lo extremadamente costoso que resulta reponerse de este tipo de incidentes.

Al implementar una herramienta que afectará a toda la compañía, es importante relevar sus necesidades área por área

Por suerte, en los últimos años, la inversión en seguridad de la información creció y estos temas pasaron a tener un lugar en la agenda del directorio de la mayoría de las empresas.

Entonces, ahora que por fin logramos que dejen de considerar los temas de seguridad como un gasto, y pasen a verlos realmente como inversión, es momento de dar el siguiente paso: implementar los controles y medidas de seguridad y hacer buen uso de esta inversión.

Existen numerosas normas, estándares y herramientas que se pueden seguir para proteger la información y cada empresa debe evaluar cuál es la que mejor se ajusta a su negocio. Sin embargo, más allá de cuáles sean las medidas implementadas, hay una serie de errores recurrentes que muchas veces se dan por cuestiones no contempladas, y que terminan generando muchos dolores de cabeza –por no decir brechas de seguridad que pueden ser peores que el problema original.

A continuación veremos algunos de esos errores, con el objetivo de que puedan identificarlos y prevenirlos.

Considerar a todos los roles y/o usuarios por igual

Aquí no estoy hablando de desigualdad, sino de diversidad. Las necesidades y conocimientos de los usuarios no son siempre las mismas, la información que manejan no es la misma y ¿por qué? Porque los roles no son los mismos.

Un ejemplo clásico es la implementación de una nueva herramienta con la misma configuración para todos los usuarios de la compañía. Supongamos el caso de un nuevo firewall para el control de acceso a Internet, en una empresa donde los usuarios están haciendo mal uso de la red, bajando desde aplicaciones sospechosas hasta archivos con derechos de autor, lo cual, entre otros problemas, satura la conexión. Se implementa el nuevo firewall con una única política de navegación, la cual restringe todas estas conexiones y, además, limita el acceso a redes sociales, páginas con información potencialmente peligrosa y un sinfín de sitios más.

Si no se han tenido en cuenta los diferentes perfiles de usuarios o las herramientas que necesita cada área, puede pasar que, por ejemplo, las personas de recursos humanos no puedan acceder a las redes sociales para buscar los perfiles de los candidatos que se postulan, que los técnicos no puedan utilizar herramientas de conexión remota para resolver problemas, que no funcione la conexión VPN de un consultor con el cliente y muchas otras cuestiones más.

A la hora de implementar una herramienta que va a afectar los servicios de toda la compañía, es importante relevar toda la compañía y tener en cuenta sus necesidades área por área.

Algo similar ocurre al planificar una charla de concientización, o capacitaciones de inducción que se dan en muchas empresas, en las que es muy común que se armen grupos con personas de diversas áreas.

Puede pasar que, si se mezcla gente técnica con gente administrativa y la charla es muy técnica, los administrativos se pierdan o no entiendan la totalidad del contenido. Por el contrario, si se enfoca la charla en los que no son técnicos, es muy probable que ellos se aburran y dejen de prestar atención.

Si bien lo ideal sería poder separar y agrupar las audiencias según su nivel técnico, la realidad es que esto muchas veces no ocurre o no es posible, y queda del lado del capacitador tener en cuenta esta diversidad para poder adecuarse a todo el público.

No existe una solución universal; es mejor invertir un poco más de tiempo en relevar y conocer las distintas áreas y necesidades de la empresa, antes que generarle bloqueos, malestar o pérdidas de tiempo.

En una próxima entrega seguiremos profundizando en los aspectos que se deben tener en cuenta a nivel macro en la compañía para no complicarles la vida a los usuarios.

Autor , ESET

Síguenos