| Noticias | 28 ABR 2015

Cuando el cálculo del riesgo en seguridad fracasa

Incluso los profesionales más experimentados en seguridad TI a menudo tienen dificultades a la hora de separar las amenazas reales de las que no lo son. Consiste en evitar tres tipos de errores que se producen de manera muy común.
Fortinet-Informe amenazas
Marga Verdú

Los responsables de seguridad TI suelen fracasar con frecuencia a la hora de defender sus argumentos, dada la poca autoridad que ejerce su posición lo cual contrasta con la gran responsabilidad que conlleva la securización de un entorno tecnológico. Tampoco resulta de gran ayuda que los usuarios eludan las recomendaciones o que actúen directamente tratando de evadir los controles. En cualquier caso, resulta sencillo criticar el comportamiento de otros cuando se trata del lío conocido como el estado actual de la seguridad informática.

 

Se dan frecuentemente tres razones principales por las cuales los defensores de la seguridad de los sistemas de información pueden llegar a tomar decisiones poco afortunadas en temas de riesgo en TI. Cuando actúan juntos, estos tres errores de cálculo en aspectos de seguridad explican por qué la mayoría de las organizaciones gastan una gran parte de su presupuesto en TI en proyectos que nunca podrán llegarles a proteger al 100 por cien.

 

 Error número 1: confundir el despliegue publicitario en los medios de comunicación con el nivel de riesgo, ya que gran cantidad de amenazas provienen del bombardeo publicitario de marcas falsas enmascaradas como auténticas. Resulta difícil ignorarlas, pero es lo que se debe hacer en la mayoría de las ocasiones.

 

El segundo gran error en seguridad consiste en centrarse en la procedencia del ataque, y también en qué fase se encontraba el sistema previamente al ataque, en lugar de indagar en cómo han sido traspasadas las defensas. Es cierto que es necesario valorar el daño causado por la brecha, pero se ha de dedicar la misma atención, si no más, en determinar cómo han entrado los hackers, y asegurar de que esta vulnerabilidad no va a ser explotada en el futuro. El tercer error consiste en no informar adecuadamente al equipo de gestión de los riesgos reales, lo cual imposibilita la disponibilidad de las herramientas y recursos necesarios para realizar el trabajo adecuadamente.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información