maxkabakov - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

La contradicción de la gestión de riesgos pospandemia

La seguridad frente a la usabilidad es siempre una lucha constante para los equipos de seguridad. El rápido cambio al acceso remoto durante la pandemia ha obligado a las empresas a revisar su enfoque de gestión de riesgos.

A medida que la economía emerge gradualmente de las restricciones que sufrieron nuestras comunidades en un intento de frenar la propagación del covid-19, he estado escuchando sobre la "gestión de riesgos posterior al covid-19". Y no puedo evitar sentir que esto es un poco contradictorio. Mucho antes del coronavirus, las empresas se enfrentaban a la cuestión de si priorizar la seguridad o la usabilidad.

Esta pandemia obligó a las empresas a adoptar nuevos entornos laborales que no esperaban en respuesta a una situación sin precedentes. Sus prácticas de seguridad eran lo suficientemente maduras para manejar una transición y un ajuste masivos, o estaban atrasadas. Por esta razón, no teníamos una gestión de riesgos previa al covid-19 y ahora, de repente, tenemos una gestión de riesgos posterior a covid-19. Muchos de los cambios tecnológicos que las empresas se vieron obligadas a realizar en respuesta a la pandemia se mantendrán y madurarán. Lo que tenemos es una nueva normalidad.

No muchas empresas, si es que había alguna, tenían una estrategia de contingencia bajo la manga como parte de sus planes de continuidad comercial para un cambio casi inmediato al trabajo remoto para los empleados. Tuvieron que adaptarse sobre la marcha al teletrabajo en todos los ámbitos, con entornos virtuales que reemplazaban a las oficinas, las salas de conferencias y otros lugares que albergan reuniones cara a cara. En muchas situaciones, las empresas o los empleados bien pueden haber optado por la usabilidad, dando prioridad a la necesidad de compartir información sobre los riesgos que implica la distribución de información en línea. Después de todo, el negocio debe continuar y los equipos de ventas deben poder hacer su trabajo. Pero las preguntas de seguridad no desaparecen.

Muchas industrias enfrentan desafíos de marketing y ventas relacionados con la protección de la propiedad intelectual antes de su lanzamiento. En las operaciones minoristas o en la fabricación, por ejemplo, los representantes que promocionan un nuevo producto quieren ser los primeros en comercializar, pero también quieren evitar que un competidor los socave robando la idea.

Factores de riesgo de ciberseguridad reinventados

Llevar información confidencial o privada en una computadora portátil u otros medios móviles siempre ha tenido riesgos, pero esos datos a menudo estaban protegidos por autenticación de dos factores y cifrado de hardware o software. Ahora, en una era de intercambio de información más virtual a través de reuniones y transacciones en línea, los riesgos se exacerban. Por ejemplo, es posible que las conexiones no estén protegidas, que las transmisiones no estén completamente encriptadas o que los usuarios no estén seguros de la seguridad de otros participantes. De hecho, es posible que no conozcan a todos los que tienen acceso a los datos que se comparten.

La seguridad puede colocarse en capas en entornos virtuales, pero eso también puede presentar complicaciones. Por un lado, es posible que no proporcione protecciones completas si se agrega después de que las aplicaciones estén en uso. Por otro lado, los estrictos controles de seguridad podrían dificultar el uso de los canales online. Esto podría llevar a algunos usuarios a buscar formas de evitar esos controles, lo que podría exponer involuntariamente los datos a amenazas.

Las empresas pueden encontrar que los desafíos de volverse casi completamente virtuales durante la respuesta a la pandemia van acompañados de un lado positivo o dos. Pueden darse cuenta, por ejemplo, de que algunos empleados son igual de productivos o incluso más productivos trabajando de forma remota, o que los vendedores que hacen contacto por medios virtuales son igual de eficaces. Algunas empresas pueden ver ahorros potenciales en los costos de construcción, mantenimiento y viajes al pasar más a un modelo virtual.

Revisión de la gestión de riesgos

No existe una regla que se ajuste a todas las empresas para la gestión de riesgos; se reduce a cada organización específica y sus prioridades. Pero todas las empresas pueden abordar elementos clave de una fuerza laboral virtual, especialmente cuando se reflexiona sobre qué aspectos de la adaptación al covid-19 fueron más difíciles.

La gestión de acceso es uno de los riesgos más importantes. ¿Quién tiene acceso a ciertos intercambios y transacciones? ¿Deben tomarse medidas para establecer niveles de permisos? ¿Es necesario agregar otra capa de autenticación?

La cuestión de los controles de seguridad adicionales es otra. ¿Tienen los canales en línea, independientemente de si son comunicaciones uno a uno o sesiones grupales, el cifrado adecuado y otras protecciones (incluido el control de acceso)? ¿Los datos que se intercambian están tan bien protegidos como si estuvieran en una unidad o computadora portátil cifrada por hardware y software?

Como es habitual, las empresas deben abordar la cuestión de la seguridad frente a la facilidad de uso, según sus propias circunstancias. ¿Vale la pena la facilidad de uso o la necesidad de un canal de comunicación del riesgo inherente al intercambio de información vital? ¿O debería tener prioridad la seguridad?

La gestión de riesgos generalmente conduce a uno de tres resultados: aceptar, transferir o mitigar. Puede aceptar el riesgo sobre la base de que el proceso en consideración vale la pena por las posibles consecuencias. Puede transferir el riesgo contratando a un tercero para proteger el área de interés, o quizás contratando un ciberseguro. O puede mitigar el riesgo implementando cambios de seguridad. La tercera opción suele ser la más difícil de administrar porque los nuevos controles de seguridad tienen un impacto financiero y de procedimiento en lo que están diseñados para proteger.

La seguridad siempre ha sido un difícil acto de equilibrio entre dar demasiado peso a la seguridad o la usabilidad. Ahora que covid-19 ha desafiado las políticas de seguridad y los límites de las organizaciones, es clave abordar la gestión de riesgos como una faceta continua de un negocio que debe madurar con el tiempo, independientemente de la crisis en cuestión.

Sobre el autor:

Jonathan Couch, vicepresidente senior de estrategia en ThreatQuotient, utiliza sus más de 25 años de experiencia en seguridad de la información, guerra de la información y recopilación de inteligencia para enfocarse en el desarrollo de personas, procesos y tecnología para respaldar el consumo, uso y comunicación de inteligencia sobre ciberamenazas. Antes de ThreatQuotient, Couch fue cofundador y vicepresidente de Threat Intelligence Services para iSIGHT Partners, donde creó y administró un centro de fusión de amenazas para ayudar a los clientes en la transición a programas de seguridad basados ​​en inteligencia. Couch sirvió anteriormente en la Fuerza Aérea en la NSA, Centro de Guerra de Información de la Fuerza Aérea y en Arabia Saudita como ingeniero de red regional para la Fuerza de Tarea Conjunta (Sudoeste de Asia).

Investigue más sobre Protección de datos empresarial

Close