Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Compañías valientes ven los beneficios de la seguridad centrada en las personas, dice Gartner

Empresas con cultura de seguridad y apoyo ejecutivo adecuados están probando un enfoque de seguridad centrado en las personas, según Gartner.

Empresas valientes con la cultura de seguridad y el apoyo ejecutivo adecuados están probando y beneficiándose de un enfoque de la seguridad centrado en las personas, según Gartner.

La adopción de un enfoque de este tipo no es un ejercicio trivial, pero los estudios de casos han demostrado los beneficios, dijo el investigador Tom Scholtz en la Cumbre IAM Gartner 2015 en Londres.

Aunque la educación es un elemento esencial, la seguridad centrada en las personas (PCS) es más que la formación de la conciencia de seguridad y está dirigida a cuestionar la visión tradicional de la gente como el eslabón más débil.

En cambio, al permitir que todos los empleados tomen opciones y decisiones informadas de seguridad, las empresas pueden convertir a todos los miembros de su fuerza de trabajo en un fuerte agente de seguridad de la información.

Así como el concepto de espacio compartido del ingeniero de tráfico holandés Hans Monderman ha dado lugar a un menor número y a menos graves accidentes, los pioneros de PCS están viendo menores y menos severas violaciones de datos, dijo Scholtz.

“El espacio compartido, como la PCS, desplaza la responsabilidad de la seguridad hacia el individuo y los anima a estar más atentos y a pensar cuidadosamente acerca de sus acciones y las consecuencias potenciales", dijo.

Scholtz dijo que, aunque es contrario a la intuición, la reducción de los controles de seguridad puede mejorar la moral del personal, mejorar la seguridad y, al reducir la burocracia, recortar los costos.

"Las organizaciones que han seguido este enfoque reportan que, al pasar de un modelo centrado en el control y poner a la gente en el centro, han reducido el riesgo y mejorado la seguridad", dijo.

Responsabilidades explícitas

En el núcleo de PCS está el reconocimiento de que si bien las personas tienen derechos, también tienen responsabilidades explícitas con la empresa y otros usuarios de TI en la organización.

Corresponde a las personas tomar decisiones, y ellas serán hechas responsables de sus acciones sobre la base de un conjunto de principios básicos.

La educación es el habilitador fundamental, dijo Scholtz, porque la gente puede ser considerada responsable de sus decisiones solo si entienden las consecuencias de esas decisiones.

“La gente no puede tomar decisiones en un vacío, sin entender las consecuencias del uso de TI y la información”, dijo.

La capacidad de supervisar las decisiones y acciones de la gente es otra parte esencial de PCS para asegurar que cuando la gente comete errores, esos errores pueden identificarse y arreglarse rápidamente, y las lecciones se aprenden para asegurar que este tipo de errores no se repita.

Aunque Sholtz dijo que PCS es todavía "un trabajo en progreso", todas las implementaciones hasta la fecha se han basado en siete principios fundamentales:

1. Rendición de Cuentas

En el contexto de PCS, la responsabilidad de proteger la información recae en los propietarios de esa información, que están mejor capacitados para tomar decisiones sobre quién debe tener acceso a esa información.

2. Responsabilidad

La gente será considerada responsable de las consecuencias de sus acciones a través de la supervisión colectiva y se espera que actúen con responsabilidad y ética en el uso de la información para apoyar el negocio.

3. Inmediatez

La reacción a cualquier mala conducta será inmediata, pero los esfuerzos para soportar el cumplimiento de las mejores prácticas serán mayores que cualquier acción punitiva.

"La primera suposición es que cualquier mal comportamiento es un error genuino y se debe ayudar al individuo en cuestión a entender por qué su acción estaba mal, para que no lo hagan de nuevo", dijo Scholtz.

"Sin embargo, si las malas acciones se repiten y se requiere una acción punitiva, se debe cumplir estrictamente”.

4. Autonomía

Este principio reconoce que los individuos ejercen autonomía en cómo y cuándo utilizan información y aplican los principios de seguridad vinculados a la responsabilidad y en función de su conocimiento del negocio y la seguridad.

5. Comunidad

Este principio reconoce que las personas no toman decisiones de forma aislada y por ello recae en el liderazgo la responsabilidad de asegurar una cultura positiva de colaboración que apoye las buenas decisiones.

6. Proporcionalidad

Todo control impuesto debe ser proporcional a los riesgos, pero en PCS, el objetivo es optar en su lugar por el monitoreo y las capacidades de respuesta o los controles automatizados, siempre que sea posible.

7. Transparencia

El comportamiento del usuario se supervisa de cerca, pero cada acción punitiva debe estar abierta al escrutinio para evitar el vigilantismo en una comunidad donde todo el mundo es un auditor.

"PCS todavía está evolucionando, pero una serie de organizaciones que Gartner está rastreando han implementado algunos o todos los principios básicos", dijo Scholtz.

Al cambiar a PCS, una gran empresa industrial ha sido capaz de reducir 1,500 funciones en un sistema ERP a solo 17 funciones, que comprenden cinco funciones genéricas y 12 excepciones específicas donde se requiere una mayor confidencialidad.

"La compañía está haciendo un piloto con 200 usuarios y reporta que el monitoreo de excepciones es más fácil y que los usuarios dicen que se sienten menos frustrados", dijo Scholtz.

"La compañía también informa de una mayor seguridad, un menor número de violaciones de políticas de seguridad, y un menor número de falsos positivos, pero es importante tener en cuenta que hay una cultura existente de confianza y claro apoyo ejecutivo”.

Reducir las políticas de seguridad obligatorias

Una empresa multinacional de energía que está probando PCS ha sido capaz de reducir 43 directivas de seguridad obligatorias a solo ocho, pero tuvo que invertir en mejores capacidades de monitoreo para asegurar la rendición de cuentas.

"La compañía informó que los empleados prefieren el enfoque de monitoreo y rendición de cuentas a que se les impongan cosas, y el negocio reportó debates más significativos sobre el riesgo con los equipos de seguridad de TI, con ambas partes beneficiándose de mejores ideas", dijo Scholtz.

Un fabricante multinacional también ha informado ser capaz de reducir sus políticas de seguridad básicas a seis, con el resto de las viejas políticas siendo reescritas como consejos de mejores  prácticas o puestas a disposición como servicios.

La compañía ha informado mejores decisiones de riesgo y una mejor adopción de políticas de seguridad, mientras que antes de intentar PCS, la mayoría de las políticas fueron ignoradas en una organización muy descentralizada.

Más acceso a la información

Según Scholtz, las implementaciones de PCS que Gartner está monitoreando muestran que se puede confiar en la gente con más acceso a la información y funcionalidad para soportar el negocio de lo que la sabiduría común permite.

Sin embargo, dijo que es importante reconocer que PCS no se ajusta a todas las organizaciones a causa de los requisitos previos culturales, y hay una cierta cantidad de riesgo en la adopción de este enfoque.

"Los mayores desafíos están alrededor de la cultura organizacional y la responsabilidad legal", dijo.

Gartner dice que PCS puede ser un ajuste directo para solo el 5% de las organizaciones, pero Scholtz dijo que está haciendo una valiosa contribución al debate en torno a la búsqueda de un mejor enfoque de la seguridad.

"El principio más importante que debe aplicarse en los nuevos modelos de seguridad es la de convertir a cada individuo en un agente de seguridad", dijo.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close