Los siete pecados capitales de las políticas de seguridad
En un entorno económico donde la conformidad normativa es cada vez más importante, las organizaciones corren el riesgo de incluso incumplir sus propias políticas de seguridad. Un camino hacia el desastre que pone de manifiesto que no sólo es necesario dotarse de las mejores políticas para estar en condiciones óptimas para intentar mitigar los riesgos de seguridad, sino que además deben seguirse a rajatabla.
Qué efectividad real tienen las políticas a la hora de mitigar los riegos a los que se enfrentan las empresas? ¿Se aplican realmente todas las que están en marcha dentro de la organización? Éstas son sólo dos de las muchas cuestiones que las organizaciones pueden plantearse –y sólo dos de los muchos errores que se pueden cometer– cuando se diseñan y ponen en marcha políticas de seguridad corporativa.
A continuación se detallan de forma muy sencilla los que, según los expertos en seguridad, son siete de los errores más comunes observados en el mundo real con la intención de alertar a las empresas sobre los fallos que pueden estar cometiendo en este terreno, o que deben evitar cuando se van a dotar de políticas de seguridad. En cualquier caso, siempre habrá que tener en cuenta que la política debe reflejar los objetivos de seguridad de la compañía y establecer la estrategia de gestión acordada para proteger la información. Conviene además, como recomiendan cada vez más los expertos, dar la importancia que merece a las amenazas internas, ya que, según diversos estudios, aproximadamente la mitad de las brechas son resultados de usuarios que abusan de sus derechos de acceso a datos sensibles. Así, se hace evidente la creciente importancia de desplegar sistemas de gestión de accesos y privilegios dentro de las organizaciones.
1. No evaluar los riesgos previamente. La primera cuestión a la que una organización debería dar respuesta antes de definir cualquier política es quién la necesita y qué se pretende con ella. Parece obvio, pero es crucial. Hay empresas que, pese a moverse en mercados muy regulados, llevan años sin evaluar sus riesgos, quedando abiertamente expuestos a todo tipo de retos, porque no se trata sólo de cumplir con la letra de la ley, sino también con su espíritu.
Las organizaciones deben seguir un enfoque más holístico, concediendo importancia a cada uno de los componentes de sus políticas de seguridad, y a la vez con una visión integrada de todos ellos, de modo que puedan asegurarse de que realmente cumplen su función. Porque no todo se reduce a la conformidad en sí misma. Muchas veces la gestión pone demasiado énfasis en la mera conformidad normativa, pero proteger adecuadamente la información no se consigue sólo con cumplir las normativas, regulaciones y estándares más relevantes, pues todos estos esfuerzos no significan haber hecho el balance correcto entre los distintos objetivos de seguridad y aplicar el resultado de una manera específica para el entorno concreto del negocio.
2. Seguir un enfoque “todo en uno”. Existen plantillas que ayudan a desarrollar políticas, pero sólo se deben considerar como el punto de arranque para empezar a trabajar en la definición de las reglas propias. Muchas empresas, presionadas por falta de tiempo y dinero se limitan a utilizar ejemplos sacados de libros especializados o a imitar las políticas de otras organizaciones. Pero escribir una política de seguridad es algo más que editar. Aunque se utilice una plantilla o se siga una política de otra organización, es importante, después de analizar los riesgos propios, personalizarla y adaptarla a las necesidades específicas de la compañía. Ello implica tomarse tiempo para escribir con prudencia una política que satisfaga el perfil de seguridad propio del negocio.
3. No disponer de una plantilla estándar. Sin ánimo de confundir, aunque se ha dicho que no conviene tener una mentalidad “todo en uno”, eso no significa que no se deba aplicar cierta consistencia y aplicar una estructura estándar en cada documento. Algunas veces las políticas ni siquiera están detalladas en papel y puede que sólo se encuentren en un email. Por ello, se recomienda crear normas y reglas de gobierno corporativo sobre procedimientos comunes que establezcan un modo estándar de crear, distribuir y mantener las políticas de seguridad. Siguiendo este modo de actuar se pueden establecer criterios comunes incluso en la forma de redactar, procurando que sean claros, concisos y más legibles e interesantes. Por lo general, una política con 100 páginas no será ni práctica ni operativa: cualquier cambio que se introduzca en ella en un momento obligará a revisarla y reeditarla en su totalidad.
4. Tener políticas que sólo sean buenas en el papel. En muchas ocasiones las organizaciones se deciden a crear políticas sólo porque así le obliga una auditoría o una norma sectorial. Y en esos casos es muy posible que el resultado sea inaplicable porque no parten de escenarios reales y de una voluntad firme de protegerse. También es habitual incluso que la organización ni siquiera sea consciente de que no está aplicando en la práctica su propia política. Son generalmente empresas que no realizan ni con la frecuencia ni con la profundidad necesarias chequeos internos sobre el grado de cumplimiento de sus políticas. Las compañías que más protegen la seguridad de su información y mantienen un alto nivel de conformidad suele realizar chequeos de sus políticas cada dos semanas aproximadamente siguiendo procesos automatizados.
Es un escenario común en el mundo real empresas con políticas inaplicables; en muchos casos, la causa se debe a no contemplar el factor humano. Se trata de un enorme error: si una política no se puede aplicar es como si no existiera. Por lo general, los usuarios tratan de bordear las normas demasiado estrictas para no perder un tiempo excesivo en cumplir algo que no consideran rigurosamente necesario y que afecta a su productividad. Una política ambiciosa pero ‘razonable’ y la concienciación de los usuarios sobre la trascendencia de su cumplimiento son los mejores aliados para evitar estas situaciones.
5. No implicar a la alta dirección. Toda la organización se ha de ver implicada en la creación y soporte de la política de seguridad, y esto incluye también a los ejecutivos de alto nivel. Sin embargo, en muchos casos se les deja a un lado porque se supone que no comprenden la tecnología o no saben desenvolverse ante este tipo de problemas. Pero incluso cuando estos prejuicios tengan mucho de realidad, se ha de intentar por todos los medios que los altos directivos sean los mejores ‘embajadores’ de las buenas prácticas de seguridad.
Para conseguirlo, se ha de saber escuchar y tener en cuenta los puntos de interés de la dirección sobre la seguridad corporativa, con independencia de la disparidad de conocimientos de cada ejecutivo. El tiempo y el esfuerzo dedicados a obtener el consenso de los directivos sobre la política merecerán la pena porque beneficiará a su proceso de implantación.
Hay empresas que, con frecuencia, proporcionan a los ejecutivos portátiles o móviles con niveles de seguridad degradados para facilitarles su uso. Y no hay peor ejemplo para el resto de empleados. Toda la plantilla, absolutamente toda, debe estar sujeta a la política corporativ
Qué efectividad real tienen las políticas a la hora de mitigar los riegos a los que se enfrentan las empresas? ¿Se aplican realmente todas las que están en marcha dentro de la organización? Éstas son sólo dos de las muchas cuestiones que las organizaciones pueden plantearse –y sólo dos de los muchos errores que se pueden cometer– cuando se diseñan y ponen en marcha políticas de seguridad corporativa.
A continuación se detallan de forma muy sencilla los que, según los expertos en seguridad, son siete de los errores más comunes observados en el mundo real con la intención de alertar a las empresas sobre los fallos que pueden estar cometiendo en este terreno, o que deben evitar cuando se van a dotar de políticas de seguridad. En cualquier caso, siempre habrá que tener en cuenta que la política debe reflejar los objetivos de seguridad de la compañía y establecer la estrategia de gestión acordada para proteger la información. Conviene además, como recomiendan cada vez más los expertos, dar la importancia que merece a las amenazas internas, ya que, según diversos estudios, aproximadamente la mitad de las brechas son resultados de usuarios que abusan de sus derechos de acceso a datos sensibles. Así, se hace evidente la creciente importancia de desplegar sistemas de gestión de accesos y privilegios dentro de las organizaciones.
1. No evaluar los riesgos previamente. La primera cuestión a la que una organización debería dar respuesta antes de definir cualquier política es quién la necesita y qué se pretende con ella. Parece obvio, pero es crucial. Hay empresas que, pese a moverse en mercados muy regulados, llevan años sin evaluar sus riesgos, quedando abiertamente expuestos a todo tipo de retos, porque no se trata sólo de cumplir con la letra de la ley, sino también con su espíritu.
Las organizaciones deben seguir un enfoque más holístico, concediendo importancia a cada uno de los componentes de sus políticas de seguridad, y a la vez con una visión integrada de todos ellos, de modo que puedan asegurarse de que realmente cumplen su función. Porque no todo se reduce a la conformidad en sí misma. Muchas veces la gestión pone demasiado énfasis en la mera conformidad normativa, pero proteger adecuadamente la información no se consigue sólo con cumplir las normativas, regulaciones y estándares más relevantes, pues todos estos esfuerzos no significan haber hecho el balance correcto entre los distintos objetivos de seguridad y aplicar el resultado de una manera específica para el entorno concreto del negocio.
2. Seguir un enfoque “todo en uno”. Existen plantillas que ayudan a desarrollar políticas, pero sólo se deben considerar como el punto de arranque para empezar a trabajar en la definición de las reglas propias. Muchas empresas, presionadas por falta de tiempo y dinero se limitan a utilizar ejemplos sacados de libros especializados o a imitar las políticas de otras organizaciones. Pero escribir una política de seguridad es algo más que editar. Aunque se utilice una plantilla o se siga una política de otra organización, es importante, después de analizar los riesgos propios, personalizarla y adaptarla a las necesidades específicas de la compañía. Ello implica tomarse tiempo para escribir con prudencia una política que satisfaga el perfil de seguridad propio del negocio.
3. No disponer de una plantilla estándar. Sin ánimo de confundir, aunque se ha dicho que no conviene tener una mentalidad “todo en uno”, eso no significa que no se deba aplicar cierta consistencia y aplicar una estructura estándar en cada documento. Algunas veces las políticas ni siquiera están detalladas en papel y puede que sólo se encuentren en un email. Por ello, se recomienda crear normas y reglas de gobierno corporativo sobre procedimientos comunes que establezcan un modo estándar de crear, distribuir y mantener las políticas de seguridad. Siguiendo este modo de actuar se pueden establecer criterios comunes incluso en la forma de redactar, procurando que sean claros, concisos y más legibles e interesantes. Por lo general, una política con 100 páginas no será ni práctica ni operativa: cualquier cambio que se introduzca en ella en un momento obligará a revisarla y reeditarla en su totalidad.
4. Tener políticas que sólo sean buenas en el papel. En muchas ocasiones las organizaciones se deciden a crear políticas sólo porque así le obliga una auditoría o una norma sectorial. Y en esos casos es muy posible que el resultado sea inaplicable porque no parten de escenarios reales y de una voluntad firme de protegerse. También es habitual incluso que la organización ni siquiera sea consciente de que no está aplicando en la práctica su propia política. Son generalmente empresas que no realizan ni con la frecuencia ni con la profundidad necesarias chequeos internos sobre el grado de cumplimiento de sus políticas. Las compañías que más protegen la seguridad de su información y mantienen un alto nivel de conformidad suele realizar chequeos de sus políticas cada dos semanas aproximadamente siguiendo procesos automatizados.
Es un escenario común en el mundo real empresas con políticas inaplicables; en muchos casos, la causa se debe a no contemplar el factor humano. Se trata de un enorme error: si una política no se puede aplicar es como si no existiera. Por lo general, los usuarios tratan de bordear las normas demasiado estrictas para no perder un tiempo excesivo en cumplir algo que no consideran rigurosamente necesario y que afecta a su productividad. Una política ambiciosa pero ‘razonable’ y la concienciación de los usuarios sobre la trascendencia de su cumplimiento son los mejores aliados para evitar estas situaciones.
5. No implicar a la alta dirección. Toda la organización se ha de ver implicada en la creación y soporte de la política de seguridad, y esto incluye también a los ejecutivos de alto nivel. Sin embargo, en muchos casos se les deja a un lado porque se supone que no comprenden la tecnología o no saben desenvolverse ante este tipo de problemas. Pero incluso cuando estos prejuicios tengan mucho de realidad, se ha de intentar por todos los medios que los altos directivos sean los mejores ‘embajadores’ de las buenas prácticas de seguridad.
Para conseguirlo, se ha de saber escuchar y tener en cuenta los puntos de interés de la dirección sobre la seguridad corporativa, con independencia de la disparidad de conocimientos de cada ejecutivo. El tiempo y el esfuerzo dedicados a obtener el consenso de los directivos sobre la política merecerán la pena porque beneficiará a su proceso de implantación.
Hay empresas que, con frecuencia, proporcionan a los ejecutivos portátiles o móviles con niveles de seguridad degradados para facilitarles su uso. Y no hay peor ejemplo para el resto de empleados. Toda la plantilla, absolutamente toda, debe estar sujeta a la política corporativ
