ashumskiy - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Comportamiento humano, riesgo constante para seguridad de TI

Entre las innumerables amenazas a la seguridad de TI, una constante es el error humano. Estas tres mejores prácticas le ayudarán a tratar con ella.

Hace unos meses estaba asistiendo a una conferencia de liderazgo de TI. Uno de los temas de la conferencia fue los procesos y la tecnología de seguridad de la información. Después de varias sesiones de voceros, el organizador de la conferencia organizó a los participantes en algunos grupos para una discusión facilitada sobre las amenazas a la seguridad de la información. En nuestro grupo, el facilitador comenzó por preguntarnos lo que pensábamos que era la mejor noticia que un líder de TI podía oír sobre seguridad de la información. Otros en mi grupo dieron respuestas respecto a que la mejor noticia sería si acabáramos de pasar nuestras auditorías o pasado un tiempo sin un incidente o algo similar. Yo tímidamente levanté la mano y dije que la mejor noticia que podría recibir sobre seguridad de la información era que alguien más tuvo una brecha. ¿Por qué es una buena noticia? En primer lugar, porque no era yo. En segundo lugar, siempre que fuera alguien más, la probabilidad de que yo consiguiera financiación para inversiones en seguridad de la información era mayor después de una violación de datos muy publicitada.

Cuando se trata de seguridad de la información, las amenazas, las respuestas y las tecnologías van cambiando y espero que siempre lo harán.

A través de toda esta agitación en las amenazas a la seguridad de la información y los procesos y herramientas para combatirlas, hay un área que sigue siendo una constante y un riesgo consistente: el comportamiento humano. Todavía no he encontrado una manera de asegurar que los seres humanos actúen de la manera correcta, pero hay algunas cosas que podemos hacer que ayudan a reducir nuestra exposición.

Tres procesos de seguridad de la información para mitigar el error humano

Aquí está mi lista de lo que hace la mayor diferencia:

1. Clasificar y restringir el acceso a los datos. Algunos tipos de datos son más sensibles que otros. Puede ser abrumador pensar en maneras de proteger todos nuestros datos empresariales. Pero, si nuestros datos sensibles son un subconjunto o un pedazo de esos datos, las cosas se vuelven más simples. Me gusta definir algunos criterios que podemos utilizar para separar nuestros datos en diferentes clasificaciones. Claramente los datos financieros son sensibles. También la información de identificación personal de nuestros clientes. Pero, un montón de datos puede ser que no valgan la pena protegerlos totalmente.

Una vez que hemos clasificado nuestros datos, hay que determinar quién realmente necesita acceder a la información confidencial, y cuantas menos personas puedan acceder a los datos, mejor. Realmente necesita haber un criterio de "necesidad de saber" horneado en sus procesos de seguridad de la información. Ahora, la restricción del acceso a los datos puede ser un dolor, ya que necesitamos definir roles y permisos de datos. Luego tenemos que actualizar periódicamente las clasificaciones de datos, los roles y permisos de datos y quién debe tener esos roles y permisos. Todo este dolor bien vale la pena el esfuerzo.

2. Además de restringir el acceso a los datos confidenciales, se debe implementar un proceso y herramientas para el registro de acceso a los datos. Esto probablemente implica que tenemos que deshacernos de las cuentas genéricas de usuario, en particular de las cuentas de administrador. Como parte de nuestras revisiones de acceso regulares, debemos revisar quién está accediendo a qué datos y asegurarnos de que dicho acceso es correcto. Podemos revisar los registros de acceso para refinar nuestras reglas de acceso. Para algunos sistemas, no hay manera alrededor de las cuentas de administrador genéricas, lo que frustra así el objetivo de saber quién accede a qué datos. Para esto, mire los sistemas de gestión de claves en los que un administrador obtiene una clave para utilizar la cuenta de administrador genérica. En general, queremos saber quién está accediendo a los datos sensibles.

3. Revise las maneras en que pasamos internamente los datos sensibles del cliente olos datos financieros. Con demasiada frecuencia, hacemos esto de una manera ad hoc, menos reflexiva. Alguien hace una pregunta acerca de la cuenta de un cliente y, en respuesta, le enviamos un correo electrónico que ofrece detalles de la cuenta que nunca deben ser enviados por correo electrónico. He encontrado que es útil pasar algún tiempo con los equipos de servicio al cliente y de cuentas por cobrar simplemente para observar cómo intercambian información entre sí y con otros departamentos. Entonces, si esto es un problema, implemente un enfoque más seguro para este intercambio de información.

En mi mundo perfecto, aquellos que inventan y mejoran las herramientas de seguridad entendieron todo esto y lograron algo completo que batalla todas las amenazas a la seguridad de la información conocidas y futuras. Pero, siempre y cuando la gente siga cayendo en la trampa del correo del príncipe nigeriano, parece que una parte de mi perfil de seguridad debe asumir que necesito procesos de seguridad de la información instalados para compensar el comportamiento humano.

Sobre el autor: Niel Nickolaisen es CTO de OC Tanner Co., una empresa de consultoría de recursos humanos con sede en Salt Lake City, que diseña e implementa programas de reconocimiento de los empleados. Escritor y orador frecuente sobre la transformación de TI y el liderazgo de TI, Nickolaisen tiene un MS en ingeniería del MIT, así como un MBA y una licenciatura en física de la Universidad del Estado de Utah. Puede encontrarlo en: nnick@octanner.com.

Próximos pasos

Si quiere leer más sobre el elemento humano en la estrategia de seguridad, puede revisar:

Compañías valientes ven los beneficios de la seguridad centrada en las personas, dice Gartner

La efectividad de los planes de respuesta a violaciones de datos depende de la preparación humana

Amenazas internas accidentales y cuatro formas de prevenirlas

Riesgos de seguridad: ¿Qué hacer cuando el enemigo eres tú?

Este artículo se actualizó por última vez en agosto 2015

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close