Recientemente, mientras hablaba en una conferencia, hice una pregunta relacionada con la seguridad a la audiencia. La pregunta le pareció extraña a muchos asistentes, ya que mis sesiones no tratan directamente de temas relacionados con la seguridad, pero quería ver si esta gente estaba pensando en la seguridad. Así que pregunté: «¿Quién es el responsable de la seguridad en su empresa?»
La respuesta, aunque desafortunada, no fue sorprendente; sólo dos o tres personas levantaron la mano. Sonreí y seguí pidiendo a todos los presentes que levantaran la mano, y lo hicieron. «Esta es la respuesta correcta a la pregunta», dije. Mientras que muchas personas sonreían como si fueran parte de una broma interna, varios se sentaron con miradas pensativas en sus rostros.
El punto aquí es que no importa si tienes o no la palabra «seguridad» en tu título, lo que importa es que pienses y te comportes como si la tuvieras. Uno de los peores días que un departamento de IT puede experimentar es el día en que su compañía está en las noticias. No por un avance científico, no por ayudar a alimentar al mundo, sino por dar a conocer al mundo la Información de Identificación Personal (IIP) de sus clientes, como las tarjetas de crédito y los números de seguridad social.
Aunque no creas que puedes marcar la diferencia, estoy aquí para decirte que sí puedes. Echemos un vistazo a cinco grandes razones por las que debería aprender más sobre seguridad y trabajar más cerca con la gente de su departamento de seguridad.
Si eres un administrador de IT, déjame hacerte una pregunta incómoda: ¿Conoces alguna carpeta compartida en tu red donde los usuarios tengan más permisos o privilegios de los necesarios para realizar su trabajo? O, para el caso, ¿alguna base de datos, servidor o dispositivo de almacenamiento donde los usuarios tienen más permisos de los necesarios?
Si es consciente de esta situación y no ha tomado medidas para corregirla, está permitiendo a sabiendas una vulnerabilidad que puede convertirse en una explotación para su empresa. Me doy cuenta de que nadie quiere hacer eso intencionadamente, pero escucho a la gente decir cosas como:
- No soy responsable de ese producto.
- Tenemos un equipo de seguridad que descubrirá este problema.
- Lo tengo en una lista, pero no he tenido la oportunidad de corregirlo.
Cada una de ellas puede ser abordada con la actitud de «no es mi responsabilidad». Aunque no siempre es fácil, deberías contactar con el departamento de seguridad y el grupo responsable de ese producto, y deberías hacer un seguimiento de su corrección. Si todos los informáticos tuvieran esto como prioridad en su trabajo, imagina lo mejor que sería la postura de seguridad general de la empresa.
Si eres un experto en un producto, probablemente sepas más sobre ese producto, su configuración de seguridad y sus vulnerabilidades, de lo que saben los equipos de seguridad, así que ayúdalos. Por ejemplo, yo soy un experto en Microsoft Exchange y sé exactamente cómo endurecer un servidor de mensajería. Desde restringir las direcciones IP hasta aplicar los permisos adecuados en las carpetas públicas, puedo bloquearlo. Pero el trabajo no termina ahí. Doy esa información de configuración al equipo de seguridad y le explico qué explota esto para reducirlo. Ellos pueden ayudar a monitorear para asegurar que estos controles sean efectivos y ayudar a alertarme sobre nuevas vulnerabilidades de las que pueda necesitar protegerme. Trabajando juntos podemos elevar la postura de seguridad de la compañía.
Sony, Home Depot, el Gobierno Federal y cientos de otros bancos de alto perfil, industrias y negocios de salud han terminado en la CNN debido a un incidente. Muchas de estas empresas tienen equipos de seguridad y operaciones de TI altamente capacitados que trabajan para evitar que esto suceda. Entonces, ¿por qué sigue ocurriendo? Suele ser un fallo en el proceso, como la gestión de riesgos y la gestión de cambios. Por ejemplo, si los administradores están cambiando la configuración de un servidor, y nadie lo sabe, entonces se están creando vulnerabilidades que no están siendo analizadas y protegidas. Por eso los procesos de gestión deben formar parte de la sala de juntas.
Gestión de riesgos, gestión del cambio, evaluación de la seguridad y respuesta: puede que lo esté haciendo todo, pero esto sólo tiene éxito como un enfoque de arriba abajo. El equipo ejecutivo debe tomar decisiones sobre la seguridad y el bienestar de sus empleados y clientes en relación con la seguridad. A menudo estas decisiones deben considerarse junto con otras obligaciones, como los requisitos de cumplimiento de los que la empresa está sujeta.
Es importante trabajar con el equipo ejecutivo, ayudando a reunir estas consideraciones y formando una estrategia de gestión de riesgos que combine la evaluación de la vulnerabilidad, la aplicación y la gestión de los controles, y la supervisión de esos controles. La gestión del cambio es una pieza fundamental, ya que los cambios no autorizados y desconocidos provocan vulnerabilidades desconocidas, abriendo la puerta a las explotaciones.
Otro error garrafal que el equipo ejecutivo necesita ayuda para abordar es la comunicación de información adecuada al público en caso de un incidente. Recientemente, una gran empresa tardó varias semanas en hacer saber a los clientes que hubo una violación de la información de la tarjeta de crédito. Esto profundizó la pérdida de confianza de los clientes y le ha costado a la compañía millones de dólares. Otra compañía tuvo un incidente menor y no se comprometió la información personal, pero un empleado publicó en Facebook que la compañía había sido hackeada. De nuevo, se produjo una pérdida de confianza de los clientes y millones de dólares. ¿La solución? Un plan de comunicación que involucra al público, a las fuerzas del orden y a los portavoces autorizados.