Hoy en día, la inmensa mayoría de negocios dependen de las tecnologías de la información para desarrollar sus actividades de negocio. Es crítico que las personas que desarrollan, mantienen y usan estas herramientas e información tengan los conocimientos necesarios para hacer que estos sistemas estén debidamente securizados.
Da igual que tengamos el mejor antivirus del mercado si nuestros usuarios no saben detectar un posible phishing. O que no deben instalar software de fuentes no confiables. Da igual que compremos el mejor Firewall o WAF y nos dejemos decenas de miles de euros en estos equipos si luego no sabemos aprovechar la tecnología y las funcionalidades que estos nos brindan. Da igual que tengamos el mejor firewall del mercado muy bien configurado, si los desarrolladores que hacen nuestro portal web o e-commerce no siguen prácticas de desarrollo seguro o si la gente de Sistemas no mantiene nuestros sistemas. Cualquier fallo de estos puede dejar la puerta abierta a un atacante para robar información sensible a nuestros usuarios, ejecutar código ilícito en nuestros servidores, acceder a nuestras bases de datos o incluso parar los procesos de negocio de los que depende nuestra empresa.
Desgraciadamente estos ejemplos son una realidad, y hoy por hoy, en muchos casos el eslabón débil en las empresas son las personas, y no hay equipo o software que pueda contrarrestar las malas prácticas en seguridad. Pero no tiene por qué ser así. Vamos a ver unos puntos que convertirán nuestros usuarios en activos cruciales para la seguridad de la empresa.
Concienciación y trainings
En este punto es donde hay que empezar. Concienciación básica de seguridad a todos nuestros usuarios. Explicarles bien cuáles son los riesgos que corren y cómo detectar amenazas comunes y cotidianas para así poder evitarlas. Una vez se conocen los riesgos, el resto es sentido común. Estas nociones básicas sobre seguridad son las que tienen que ser transversales a toda la empresa. Desde el C.E.O, pasando por los desarrolladores hasta el becario en el departamento de administración. Un elemento clave para la concienciación son los trainings de seguridad, que dan ejemplos específicos en vivo, recursos y herramientas a los usuarios para que sepan detectar y evitar esas malas prácticas de seguridad que pueden poner en riesgo la seguridad de la empresa.
Objetivo de empresa
La seguridad debe ser un requerimiento que va de arriba hacia abajo en los objetivos de la empresa. En la mayoría de los casos los resultados económicos son el factor de decisión más importante que se incentiva/persigue desde dirección y esto se traslada hacia los niveles inferiores de la jerarquía. Tiene que ser la misma dirección la que incorpore la seguridad como un elemento a tener en cuenta y trasladar esta idea hacia estratos inferiores. Tenga en cuenta que una buena política de seguridad afectará positivamente a la madurez de su plataforma, lo cual seguramente repercutirá positivamente en las operaciones de negocio.
Mejora continua de la seguridad
Las tecnologías de la información evolucionan rápidamente y con ellas deben hacerlo las empresas y los empleados. Es importantísimo revisar de manera periódica, tanto las políticas de seguridad como los conocimientos/recomendaciones que damos a nuestros empleados, al igual que auditamos nuestros sistemas (de seguridad o no). Lo ideal es que tengamos una planificación de seguridad que vamos a ir actualizando conforme la empresa se va actualizando.
Incentivar el reporte de problemas de seguridad
Nadie conoce mejor la plataforma, las aplicaciones o los servicios que los usuarios, los desarrolladores y los administradores de sistemas. Si ellos tienen los conocimientos necesarios, sabrán detectar problemas de seguridad que incluso serían difíciles de ver en un Pentest donde se trabaja a contrarreloj. Hay que incentivarlos para que reporten las vulnerabilidades que detecten y simplemente no miren a otro lado.
Conclusión
En esas empresas donde se imparten trainings de seguridad, el usuario se vuelve una pieza activa y clave de la seguridad, reportando fallos de seguridad, tomando en cuenta la seguridad en el diseño de sus soluciones o en cualquier otro ámbito, incluyendo su día a día.
Que quede claro que tener una cultura de seguridad saludable no justifica el dejar de utilizar los equipos y el software necesario como firewalls o antivirus. Todo lo contrario. Con una cultura de seguridad sana, estos equipos y soluciones serán mucho más efectivos ya que las personas que los gestionan tendrán el conocimiento necesario para adaptarlos a las necesidades de la empresa.
De esta manera conseguimos que nuestra debilidad, el factor humano, pase a formar parte activa de la seguridad protegiéndose a sí mismo y al resto de la empresa con sentido común y buenas prácticas.
________
Autor: José Moyano