Seguridad Digital Empresarial: Más allá de la tecnología, procesos y Gobierno Corporativo.

Hace un par de días revisaba diversos datos y fuentes acerca de la seguridad digital empresarial y los retos más comúnmente encontrados en las organizaciones.  Me topé con una publicación muy interesante y con información valiosa que menciona lo que hemos venido experimentando y exponiendo a nuestros clientes, prospectos y asociados.

El título del documento es “Security Is an Organizational Behavior Problem” escrito por Brett Valentine para el portal https://securityintelligence.com. En la pieza se expresan interrogantes que muchas veces se dejan de lado o simplemente no se plantean:

• ¿Hasta cuando admitiremos que la tecnología por sí sola no es suficiente?
• ¿Cuándo nos daremos cuenta que nuestros bien documentados procesos se quedan cortos?
• ¿Quién será la persona valiente que reconocerá que su liderazgo, en lo que respecta a Gobierno Corporativo, no está funcionando?

Hace alusión a algo en lo que basamos el enfoque de nuestros servicios: la gente, los procesos y tecnología son las piedras angulares del programa de seguridad digital organizacional. Remarca que: “muchas empresas presentan fallas en algunas de estas áreas y todas en al menos una de ellas”.

Círculo vicioso de ineficiencia

Utilizando un título un tanto escandaloso, pero no por ello erróneo expone algo que se da en el 99% de las organizaciones: La seguridad es a menudo percibida como una problemática de tecnología o de sistemas.

Hoy la tecnología es el medio por el cual los activos más valiosos son expuestos, como resultado, el personal de sistemas es comúnmente responsable de la seguridad.

Valentine además menciona, que la visión del equipo técnico o de sistemas con respecto a la seguridad es bastante práctica y absoluta, pero limitada; ven los incidentes desde una perspectiva de bueno/malo. Pero en el mundo real donde los operadores y usuarios representan un universo diverso de comportamientos individuales, el fenómeno de aseguramiento es más complejo y no de simple lógica.

El personal de sistemas esta consciente que el entrenamiento personalizado, las habilidades de comunicación y el análisis de comportamiento del usuario toman tanto o más tiempo que la implementación de un simple control técnico y que pueden costar más que el mismo producto.

Si el enfoque de seguridad no toma en cuenta concientización, entrenamiento, usabilidad de herramientas y el comportamiento del usuario, entonces éstos encuentran “atajos” al realizar sus actividades laborales, asevera Brett Valentine y lo ilustra con el siguiente escenario:

1. Algunos usuarios están enviando información financiera sensible utilizando hojas de cálculo a través de correo electrónico.
2. Se publica una política donde se menciona que hojas de cálculo con información financiera sensible no pueden ser enviadas vía correo electrónico.
3. Los usuarios lo hacen de todos modos, a veces sin saberlo.
4. Una solución de prevención de fuga de datos (DLP) es implementada para revisar las hojas de cálculo en busca de información financiera y bloquear el envío de esos correos.
5. Como resultado de la implementación del control los usuarios utilizan otro formato de documento o dispositivos de almacenamiento externo (USB).
6. El equipo técnico a través del DLP bloquea todos los documentos enviados por correo electrónico y además implementa una política restrictiva en el dispositivo para inhabilitar las memorias USB.

En este escenario, la seguridad se ha convertido en un obstáculo.

Resultado de ello es que los usuarios y la alta gerencia empiezan a quejarse y hacer objeciones por cualquier nueva implementación de seguridad o cuando se busca presupuesto para nuevos proyectos.

Comportamiento organizacional 2.0

De acuerdo a la experiencia y otros expertos, Valentine remarca que existen cinco características de comportamiento que necesitan ser abordadas:

Concientización de los riesgos y vulnerabilidades. Cada organización tiene diferentes amenazas, cada unidad dentro de la organización tiene especificas fuentes de amenazas. Éstas necesitan ser comunicadas y entendidas por todos los usuarios de manera que puedan identificarlas y evitarlas.

Concientización de las políticas y prácticas organizacionales: Las políticas y los procesos necesitan existir no solo en papel sino en la mente y accionar del usuario. Necesitan ser simples, accionables y estar disponibles.

Concientización de las responsabilidades: Los usuarios, gerentes y líderes necesitan entender las implicaciones organizacionales y personales de la seguridad. Necesitan incentivar el actuar de una manera segura, y mostrar las consecuencias por descuidar, evitar u obstaculizar a la seguridad.

Negación del riesgo: Una cosa es entender los riesgos de seguridad, pero otra es creer en ellos. Muchos de los incidentes de seguridad se vuelven problemas por que muy a menudo se piensa que “esto no puede pasar aquí”, o “a nosotros no nos van a hackear”.

En el documento se menciona de manera acertada que la seguridad es una práctica constante, del día a día.

En Purple Security estamos convencidos que la seguridad debe de ser parte primordial de la cultura organizacional de la empresa. Los usuarios, en especial los de nuevo ingreso deben de saber que “así se hacen las cosas en la empresa” que vean a las mejores prácticas de seguridad y la concientización de las amenazas como algo inherente en el operar de la empresa.

Si bien, los conceptos de comportamiento organizacional, comunicación, entrenamiento y otras habilidades intrapersonales pueden no ser lo primero que viene a nuestras mentes como especialistas en tecnología. Tenemos la certeza que, para muchas organizaciones, representan la próxima gran oportunidad para aumentar la seguridad digital en su empresa.

https://purplesec.com/revision-ciberseguridad/

Extractos tomados del escrito: “Security Is an Organizational Behavior Problem”
Publicado en Mayo 17, 2017
Por:  Brett Valentine
En: https://securityintelligence.com
https://securityintelligence.com/security-is-an-organizational-behavior-problem/