Los verdaderos enemigos de la seguridad de los datos en una empresa
¿Cómo pueden ser más eficaces las organizaciones al abordar las amenazas cibernéticas?
Hacker -
:quality(75)/media/dinero/images/2015/03/ciber-g.jpg)
Es natural ver a la Tecnología de la Información (TI) como causa y cura de los problemas de seguridad cibernética. Después de todo, los atacantes típicamente roban información explotando una vulnerabilidad relacionada con la tecnología.
Las organizaciones con culturas colaboradoras también tienden a prácticas de manejo de información de alto riesgo.
También es tentador creer que solo usar equipos de seguridad sofisticados bastará para protegernos de ataques cibernéticos. Sin embargo, esta visión ignora los motores fundamentales de los riesgos de seguridad de la información: la cultura organizacional y los comportamientos que resultan de ella.
Dos aspectos de la cultura de una compañía tienen efectos muy grandes sobre la seguridad de su información: la tolerancia de la organización a la inconveniencia y el grado de colaboración entre unidades comerciales y empleados.
El fracaso para convertir en prioridad las medidas de seguridad es un problema particular en las organizaciones movidas por la misión. En estas culturas, los empleados a menudo tienen aprobación tácita, si no es que explícita, para desplegar la solución más conveniente de manejo de información en lugar de opciones más seguras.
Las organizaciones que operan como conjunto de unidades comerciales independientes pudieron haber crecido vía adquisiciones o porque sus modelos de negocios o clientes difieren entre sí. De cualquier forma, esto puede resultar en soluciones de seguridad inconexas difíciles de manejar, incrementando así el riesgo.
Las organizaciones con culturas colaboradoras también tienden a prácticas de manejo de información de alto riesgo.
Por ejemplo, las instituciones académicas promueven activamente prácticas ocasionalmente riesgosas de compartir conocimiento. Ni siquiera las compañías tecnológicas son inmunes, dado que sus culturas joviales tienden a resistir a las restricciones de información.
En caso de una violación a la seguridad de los datos, el departamento de TI normalmente es culpado por no controlar la seguridad de la información de la organización, cuando de hecho la cultura prevaleciente en toda la organización ha socavado el manejo de riesgo de TI.
¿Cómo pueden ser más eficaces las organizaciones al abordar las amenazas cibernéticas?
La respuesta es infundir seguridad en el ADN organizacional y apoyar a los que implementen soluciones tecnológicas seguras pese a la inconveniencia del usuario.
Primero, pruebe periódicamente la población de usuarios respecto a la política de seguridad de la información. Esta política dictamina qué procesos de seguridad se requieren y cómo deben seguirse. La política de seguridad debería ser simple, no técnica, basada en riesgo y demostrablemente asimilada en toda la organización.
En segundo lugar, medir la resistencia de las contraseñas es un buen indicador, aunque indirecto, de la cultura prevaleciente. Si las contraseñas son fácilmente adivinadas o si no se cambian regularmente, entonces o la cultura es demasiado tolerante o los usuarios tienen la libertad de desobedecer la política.
La seguridad de la información afecta a (y es afectada por) todos los individuos de una organización, y errores aparentemente triviales de un solo usuario pueden tener consecuencias significativas. Lo más importante es que los empleados crean que cumpliendo con la política de seguridad de la información están reforzando la cultura de su organización, en lugar de socavarla.
Carl S. Young es director administrativo de Stroz Friedberg, LLC y autor de "Metrics and Methods for Security Risk Management".
#kgb
Tips para tus finanzas personales directo en tu correo.
Al registrarme acepto los términos y condiciones
