alphaspirit - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Conocer el negocio es clave para la seguridad, dice consultor

La seguridad debe basarse en las necesidades y prácticas de negocios del mundo real, ya que la seguridad tradicional basada en perímetro ya no está funcionando, dice el consultor de seguridad independiente Brian Honan.

Comprender el negocio es clave para alejarse de la seguridad de la información tradicional basada en perímetro, según el consultor de seguridad independiente Brian Honan.

"Un enfoque del siglo 21 para la seguridad de la información requiere una comprensión del negocio y la forma en que la gente trabaja en la empresa", dijo al Congreso (ISC)2 EMEA 2016 en Dublín.

Las amenazas son reales, dijo Honan, e incluyen el robo de datos, hacktivismo, espionaje industrial e incluso insiders que cada vez más están siendo blanco de atacantes, en lugar de los sistemas operativos o aplicaciones. Se necesita un nuevo enfoque ligado al negocio, porque la seguridad tradicional está fallando, dijo.

Pero, por desgracia, muy pocos profesionales de seguridad informática leen planes de negocio o informes anuales para saber hacia dónde se dirige el negocio, si planea expandirse a nuevos mercados o si se planea utilizar contratistas, todo lo cual debería ser incluido en la estrategia de seguridad, dijo Honan.

Una forma para que los profesionales de seguridad de la información conozcan mejor el negocio, dijo, es simplemente tomar una media hora durante el almuerzo para hablar.

Honan dijo que una discusión en el almuerzo con miembros del departamento de ventas de una compañía reveló que todos ellos evitaban el uso de correo de la empresa debido a que la conexión VPN era difícil de usar y lenta.

"Ellos estaban reenvíando todos sus mensajes a sus cuentas de correo web privadas para poder acceder a sus mensajes rápidamente y de forma sencilla, pero también estaban pasando por alto los controles de seguridad", dijo.

Como resultado, el equipo de seguridad fue capaz de ir a la junta con el apoyo del equipo de ventas para obtener la aprobación de un sistema de correo electrónico seguro, basado en la nube, que tenía toda la seguridad sin todos los problemas.

"A menudo, un sándwich y una taza de café pueden recorrer un largo camino" para permitir a los profesionales de seguridad identificar los riesgos potenciales y encontrar alternativas seguras y más fáciles, dijo Honan.

"Es esencial averiguar qué sistemas clave necesitan las personas en la empresa, comprender plenamente dónde residen todos los datos clave, y luego llevar a cabo evaluaciones de riesgo sobre la base de eso", dijo.

Políticas claras

A continuación, las organizaciones necesitan establecer políticas claras que sean apropiadas para el negocio y cómo funciona, dijo Honan.

Sin embargo, advirtió contra la copia políticas de seguridad de fuentes en línea, citando un departamento gubernamental que lo hizo sin darse cuenta de que la política violaba sus propias normas de protección de datos.

La encriptación es también esencial, dijo Honan, señalando que con el valor de los datos siendo mayor que el costo y el cifrado siendo fácil de hacer, ya no hay más excusas para no añadir esta capa de protección.

A medida que más empresas se mueven en línea y a la nube, y los trabajadores se vuelven cada vez más móviles, la gestión de identidad y de acceso es crucial para la protección de datos, dijo Honan.

"Asegúrese de que su compañía está utilizando contraseñas buenas y fuertes, y autenticación de dos factores siempre que sea posible, lo que significa que no es necesario cambiar las contraseñas con frecuencia", dijo.

Conciencia de seguridad

La concienciación sobre la seguridad y la capacitación es otro básico de la seguridad esencial, dijo Honan, pero deben estar orientados a explicar a la gente en el negocio la razón de cada control de seguridad, cómo los controles los protegen a ellos y al negocio, y cómo pueden colaborar con el equipo de seguridad cuando sea necesario.

"Mostrar cómo la seguridad no es un inhibidor, sino que les permite trabajar en formas más seguras y más sencillas, de la misma manera que los frenos de un coche permiten a las personas viajar más rápido con el conocimiento de que pueden reducir la velocidad y detenerse cuando sea necesario", dijo Honan.

Garantizar que los sistemas estén parchados ​​y actualizados, y que la empresa cuenta con sistemas de monitoreo y la capacidad de responder, también es esencial, dijo.

"Las causas más comunes de las violaciones de datos que vemos son sistemas sin parches, contraseñas débiles y la falta de capacidad de monitoreo y respuesta", dijo Honan.

Sistemas antivirus

Por último, es importante asegurar que los sistemas antivirus están funcionando y están actualizados, dijo. No hay por qué preocuparse de los ataques de día cero cuando es extremadamente poco probable que apunten a la mayoría de las empresas, mientras se deja la puerta abierta para el gran número de ataques de bajo nivel y automatizados que todo buen antivirus atrapará, agregó.

Las brechas son inevitables, dijo Honan, y con los reportes de brechas obligatorios siendo introducidos en virtud de los requisitos europeos de protección de datos y redes, lo mejor es estar preparado.

Honan terminó con un llamamiento a los profesionales de seguridad de la información a participar con sus pares y compartir información sobre ciberataques y brechas de datos.

"No somos buenos intercambiando información", dijo. "Todavía no sé, por ejemplo, cuál fue la causa raíz de la recientemente divulgada brecha de Yahoo en 2014. Necesitamos un mejor intercambio de información".

Próximos pasos

Más sobre seguridad:

Las tres acciones para darle seguridad al código

Por qué los peores riesgos de seguridad móvil no desaparecerán

Seguridad PaaS: Cuatro reglas para bajar los riesgos empresariales

Con nueva infraestructura NFV viene nueva seguridad NFV

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close