Por Aury M. Curbelo síguela en Twitter en @acurbelo
Introducción
Bien lo decía mi abuela que a la hora de cocinar un buen guisado el secreto está en la receta y la calidad de sus ingredientes. Detallar cuáles son las prácticas necesarias para promover el desarrollo de una cultura de seguridad en informática en las empresas representa un gran reto, esto porque cada empresa en su entorno general posee una cultura y unas características únicas que las distinguen. Por ejemplo, tal vez el “Plan y Políticas de Seguridad en Informática X” le resulte muy adecuado y práctico a la Compañía A pero no a la Compañía B. Entonces, ¿cuál es la clave para que un plan de seguridad en informática sea efectivo? La clave es: promover que se hable de seguridad en todos los niveles y todos los días con todo el personal que labora en la empresa.
Lo que pretendemos con este artículo es “cocinar” algunas buenas prácticas para promover el desarrollo de una cultura de seguridad en informática que involucre a todos sus componentes, desde el usuario que trabaja desde cubículo haciendo promociones, el usuario en el centro de servicios, la alta jerarquía y gerencia, hasta el que limpia los monitores en las noches.
La seguridad en informática es un asunto de TODOS los que laboran en un ambiente corporativo, la clave para ser exitoso en el diseño, implementación y evaluación de unas políticas de seguridad está en involucrar a TODOS los participantes de esa empresa.
Las políticas de seguridad no pueden ser unos documentos que caigan del cielo y todos los tengamos que obedecer. Las políticas de seguridad deben ser discutidas a todos los niveles jerárquicos y deben ser un tema de conversación diario.
Para lograr que el fenómeno de “cultura de seguridad” se lleve a cabo en una empresa hay que entender varios conceptos de la psicología humana y más allá de entenderlos hay que digerirlos, asimilarlos y aplicarlos a nuestro favor.
En este artículo presentaremos varios conceptos de la psicología humana entre ellos; “el sentido de pertenencia”, “la ley de reciprocidad”, “errar es de humanos” y como entendiendo estos conceptos y aplicándolos al diseño, implantación y evaluación de políticas de seguridad en informática se pueden establecer unos principios para ser exitosos en el desarrollo de una “cultura de seguridad en informática” en las empresas.
El llamado “sentido de pertenencia”
De acuerdo a Abraham Maslow en su “Pirámide sobre las necesidades humanas”, el sentido de pertenencia se define como un nivel en donde el ser humano tiene la necesidad de aceptación e integración en grupos, o algo que ofrezca apoyo y asociación. Usted pensará: ¿qué tiene que ver esto con la seguridad en informática?, le comento que MUCHO. Si un empleado se siente parte de una empresa, se siente a gusto, satisfecho con sus condiciones de trabajo es un empleado que velará por que esa empresa prospere y que sus activos estén seguros.
De hecho, el modelo de éxito del empresario de Sam Walton, fundador de las tiendas Sam’s Club y Walmart, cadenas americana de tiendas por departamento, establece en sus “10 pasos para el éxito comercial” el principio de: “tratar a sus empleados como asociados” para que “sientan ese sentido de pertenencia” de modo que promuevan el éxito de la empresa a través de sus servicios y su fidelidad a la compañía.
Imagine por un momento, cuánto se podrá lograr si los empleados de una empresa hacen parte de su ética y filosofía laboral el concepto de “seguridad en informática” y los pasos para proteger los activos de la compañía en la cual laboran simplemente por que la gerencia le tomó en cuenta durante el diseño, implementación y evaluación de las políticas de seguridad en informática de esa compañía. Ese único detalle promovería el “sentido de pertenencia” de los empleados y me ayudaría a fomentar una “cultura de seguridad en informática”.
Ley de Reciprocidad
Otro de los conceptos es entender la llamada: “Ley de Reciprocidad”. Esta “ley” postula que para cada acción existe una consecuencia. En términos de seguridad en informática “por cada pérdida de información se genera un costo”. Ese costo representa una pérdida y esa pérdida tiene un responsable, por lo general ese responsable es: HUMANO.
Comentemos brevemente sobre la “Ley de Reciprocidad” desde la óptica de los costos y causas reales de las fugas de información y sus consecuencias.
Costo y causas reales de las fugas de información
De acuerdo a un estudio publicado por Datacastle el costo de pérdida de datos asciende a $214.00 dólares por expediente o ficha de información. De otra parte Symantec y Ponemon publicaron un estudio en el cual encontraron que un 50% de las brechas de información fueron causadas por códigos maliciosos, 33% por empleados negligentes, y 17% por ingeniería social.
Asimismo, Symantec y Ponemon manifestaron que gran parte de las brechas de información fueron causadas por; pérdida o robo de computadoras, pérdida de aparatos móviles tales como tabletas, celulares y otros dispositivos móviles. De otra parte, mencionaron que otras causas para la pérdida de información fueron; empleados negligentes que no protegían sus contraseñas, olvidaban encriptar los datos, remover los datos de manera correcta de los dispositivos electrónicos, enviar información importante a través de correo electrónico pero por error escribir la dirección de correo de manera incorrecta de modo que la data caía en manos de personas no autorizadas, empleados robándose documentos, o documentos robados por terceros, robo de las cintas de resguardo, empleados llevándose las computadoras para su casa y utilizando los mismos en redes abiertas o inseguras de modo que los paquetes de datos eran interceptados y robados.
Asimismo, Application Security Inc. realizó una encuesta a 524 empresas relacionadas a la industria de las tecnologías de información (IT). Los resultados de la encuesta mostraron que seis de cada 10 empresas responsabilizaban como un “error humano” las brechas de información de las cuales habían sufrido en el pasado año. Más aún indicaron que 45% de los fraudes y abusos en la data eran cometidos por empleados y contratistas.
Errores humanos
Mucho se comenta de los llamados “errores humanos” y sus posibles causas. Dentro del ambiente de seguridad en informática el “humanware” o el “peopleware” es uno de los factores más desatendidos a la hora de robustecer los activos de una compañía. Son los humanos los que trabajamos y accedemos a la data, sin embargo, las compañías invierten muy poco en las herramientas para adiestrar a ese personal “humano”.
Los errores humanos en el área de informática pueden ser cometidos por diversos factores:
No nos importa cometer errores- Esta variable está relacionada a muchas brechas de seguridad, por ejemplo; cuando un usuario anota sus credenciales en una hoja de papel y la coloca en su área de trabajo para recordarla, otro caso es cuando los filtros de seguridad le notifican al usuario que la entrada a cierta página web representa un riesgo de seguridad y como quiera entra y visita la misma. Asimismo, cuando un empleado decide no seguir las políticas de seguridad implementadas en la compañía ya sea porque las desconoce o porque simplemente no le interesa seguirlas.
Falta de conocimientos en informática- Muchos usuarios hoy día sólo conocen lo básico para trabajar con una computadora, por ejemplo; generar un documento, enviar y recibir un correo electrónico, trabajar en una hoja de calculo de manera básica y realizar una corta presentación. Muy pocos conocen acerca de las funcionalidades avanzadas de su computadora y mucho menos conocen de aspectos de seguridad en informática.
Errores técnicos- Estos errores técnicos son creados por los programadores que a la ligera y por las presiones de productividad de sus patrones se ven en la obligación de publicar aplicaciones y soluciones corporativas con graves errores de programación. Dándole la oportunidad a que experimentados “hackers” exploten las vulnerabilidades de los productos diseñados.
Bien dice el refrán: Errar es de humanos, pero rectificar es de sabios. Ahora bien, ¿cómo rectificar los errores cometidos por los empleados y que han causado pérdidas económicas a una empresa? No es una receta mágica y mucho menos una tarea fácil de lograr pero integrando lo antes expuesto las compañías pueden atender muchos de estos errores con una simple acción: EDUCAR A SUS EMPLEADOS.
Para educar a los empleados se pueden utilizar múltiples estrategias educativas entre ellas adiestramientos, talleres, conferencias en diferentes modalidades tales como, presenciales y no presenciales, propaganda, guías en fin, múltiples estrategias, pero la más importante es la repetición.
En términos estratégicos comparto algunas sugerencias que podrían ayudar a fomentar la creación de la llamada “cultura de seguridad” en las empresas.
Estrategias para fomentar una cultura de seguridad en informática
Desarrollar una cultura de seguridad en informática se trata de educar a los empleados sobre la importancia de manejar y administrar todos los activos de una empresa. Las actitudes y valores reflejados en las estrategias, políticas, y procesos de una compañía son la fundación para promover una cultura de seguridad en informática. La participación es la clave para que todos los componentes de ecosistema que conforma una empresa estén protegidos. La seguridad en informática es un asunto de todos.
La doctora Aury M. Curbelo es consultora y conferenciante internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Forense. Además es profesora en el área de Sistemas computadorizados de Información. Síguela en twitter: @acurbelo.
SÍGUENOS
© 2012 Netmedia S.A. de C.V.
Políticas de privacidad
Sócrates 128 4to piso, Polanco
CP 11560, México D.F.
Tel: 2629 7260