La seguridad digital al interior de la organización no debe depender únicamente de un equipo especializado en la materia, sino de todos los integrantes de la empresa.
Para garantizar la seguridad, se debe construir una cultura alrededor de esta.
De acuerdo con Boston Consulting Group, cerca del 70% de los ataques cibernéticos exitosos fueron causados por un error humano: un colaborador que sin medir los riesgos, contaminó los sistemas y abrió la puerta a un atacante.
Es por ello que educar es fundamental, que nuestros trabajadores estén conscientes de los peligros que corren día a día al darle clic a una liga desconocida, al ingresar una USB de origen dudoso o al usar redes no seguras. Para lograr esta cultura de seguridad, Mark Schwartz, CIO en distintas empresas tecnológicas, hace las siguientes recomendaciones:
1. Comunica constantemente la conexión entre la seguridad y la misión de la organización
En una organización todos debemos tener el compromiso con nuestros clientes, accionistas y proveedores de mantener la seguridad de nuestros sistemas; los clientes nos confían sus datos personales, los accionistas hacen lo propio con sus recursos. Estas responsabilidades recaen en cada miembro de la empresa.
El CFO debe tener claro que la seguridad importa para la salud de las finanzas; el CMO y el gerente de ventas deben tener claro que si la compañía no mantiene la integridad de sus sistemas, no podrán entregar los compromisos hechos al cliente; el COO debe comprender que su operación debe confiable, íntegra y consistente, por lo cual no debe dar oportunidad a los riesgos. La seguridad no es una carga para una sola área, sino es una responsabilidad que todos debemos asumir.
Todos en la compañía debemos ser capaces de responder estas preguntas: ¿estaría bien para nosotros saber que un sistema –como el de un banco o de e-commerce– estén comprometidos? ¿Como clientes estaríamos dispuestos a correr el riesgo de que nuestra información sea robada? ¿Dejaremos de proveer servicios debido a un ataque que deniegue el servicio? Todos debemos tener claro que el tema de la seguridad es no negociable y debemos apoyarnos para garantizar la integridad tanto de los datos como de la operación.
2. Establece buenas prácticas para incorporar seguridad y nuevos mecanismos de retroalimentación rápida para corregir errores
Las auditorías periódicas de seguridad realizadas a múltiples organizaciones revelan malas noticias: estamos en constante peligro, la ingeniería tecnológica mejora todo el tiempo para robar datos y los empleados de una empresa son fácilmente engañados, simplemente cuando solicitan algo a soporte técnico y otorgan sus datos de acceso al sistema sin cuestionarse si esta es una práctica segura o no.
Un agresor dedicado podría diseñar ataques de phishing que engañarán a las personas para que hagan clic en sus enlaces, o bien, las personas escribirán sus contraseñas en algún lado porque las contraseñas altamente seguras son difíciles de recordar.
Por ello, la organización debe utilizar múltiples niveles de autorización; esto reduce el riesgo inherente de las contraseñas y le hace la vida más difícil a potenciales atacantes. Los tests de seguridad automatizados ayudan a los desarrolladores a recibir retroalimentación constante para identificar fácilmente posibles vulnerabilidades y a trazar un protocolo efectivo para combatirlas.
Cuando un tester dedicado encuentra vulnerabilidades, es importante reunir a todos para informar del problema, lo cual puede ayudar a entender cómo podemos ser engañados y cómo evadir la situación de riesgo en el futuro.
3. Establece normas para la higiene de la seguridad y estándares de alta calidad
Una de las acciones que salvó muchas vidas a partir del siglo XIX fue simplemente lavarse las manos, lo hacemos de manera automática y así evitamos la infección por bacterias y virus. Así funciona el principio de higiene digital: la validación de entradas hace menos posible que exista una entrada para el atacante. Cuando se hace una costumbre, las posibilidades de infectarse disminuyen drásticamente.
Una buena higiene en seguridad es virtualmente gratuita y altamente efectiva. Se trata de construir nuevos hábitos que previenen la mayoría de los incidentes de seguridad, por ejemplo, acciones simples como triturar documentos sensibles, asignar el mínimo de privilegios a las cuentas de los usuarios que no lo requieran o eliminar de inmediato las cuentas de empleados que hayan dejado la organización.
4. Adopta un enfoque de Cero Defectos Conocidos
En un ambiente de entrega continua, el código debe pasar múltiples pruebas antes de ser liberado, debe cumplir con la condición de luz verde o luz roja. Todo en seguridad debe ser tratado de esta manera, y hoy es lo que menos se utiliza en este tema.
Se deben revisar todos los posibles errores antes, durante y después del desarrollo; en el caso de un sistema heredado –junto con los proveedores– hay que revisar su funcionamiento, hacer pruebas y en caso de encontrar vulnerabilidades, se debe realizar un plan para remediarlos, esto ayuda a que todos sean conscientes de que ninguna vulnerabilidad es aceptable.
5. Revisa continuamente la seguridad, tanto en desarrollo como en producción
En las organizaciones se suelen hacer revisiones de los sistemas de seguridad cada dos o tres años, en lugar de eso se debe someter a cada sistema a un proceso de revisión constante y permanente para que sea continuamente probado con herramientas automatizadas mientras está en funcionamiento. Si alguna vulnerabilidad es encontrada, inmediatamente se debe atender.
Esto hace de la seguridad un sistema proactivo en lugar de una obligación. No sólo debemos habitar en sistemas seguros, sino hacerlos a prueba de errores, y mantenernos atentos para reaccionar a tiempo ante cualquier eventualidad.
Estas cinco técnicas descritas contribuyen a establecer una cultura donde la seguridad resulta ser la columna vertebral más valiosa y que se considera algo que le debemos a nuestros usuarios y clientes. Cada colaborador se debe involucrar, dejar los viejos hábitos y crear nuevos, todo sin invertir más del tiempo necesario y sin inversiones onerosas. Esto te ayudará a tener más clientes satisfechos y ambientes más seguros.
Fuente: AWS