Descarga el PDF
Los principales errores en el control de seguridad TI
De acuerdo con el Índice de Inteligencia de Seguridad Cibernética de Servicios de Seguridad 2014 de IBM, 95 por ciento de los incidentes de control de seguridad de la información en TI implica un error humano.
Los errores humanos se definen generalmente como circunstancias que, con anterioridad a la planificación de acciones, decisiones o comportamientos, tienen el potencial de reducir la calidad, la seguridad y la protección. Ejemplos de ellos en la industria hay muchos: mala configuración del sistema; la mala gestión de parches; el uso de nombres de usuario y contraseñas por defecto fáciles de adivinar; dispositivos perdidos; divulgación de información a través de una dirección de correo electrónico incorrecta; hacer un doble clic en una URL o un archivo adjunto inseguro o con malware; compartir contraseñas con otros; dejar los equipos sin vigilancia cuando se está fuera del lugar de trabajo; y hasta usar dispositivos móviles de propiedad privada que se conectan a la red de la organización en una WiFi pública.
CONTROL DE SEGURIDAD (O LA MALA FORTUNA)
Los incidentes ocurren cuando una serie de eventos menores ocurren consecutivamente y/o simultáneamente.
Es fácil ver que los errores más comunes en TI son causados por una combinación de fallas humanas y las deficiencias de seguridad.
La falta de una estrategia para abordar y prevenir este tipo de incidentes es la raíz del problema. Muchas organizaciones aplican una variedad de planes para asegurar la información. Se basan en lecciones de disciplina de la ingeniería del factor humano. Algunos ejemplos son bien conocidos: salvaguardias automatizados, como la criptografía, la gestión de contraseñas, identidad y gestión de acceso.
El uso de la prevención es lo que más se acerca a apoyar a alguien en la correcta ejecución de tareas, tales como listas de verificación, campañas de sensibilización, procedimientos, medidas disciplinarias, formación de personal y retroalimentación.
Al mismo tiempo deben crearse planes para mitigar las consecuencias de los errores, haciendo mecanismos de detección para corregir situaciones antes de que se conviertan en un incidente. Los ejemplos incluyen auditorías, control interno, soluciones de detección de incumplimiento, así como la supervisión del sistema y vigilancia.
Es humano cometer errores, y nunca puede ser ciento por ciento impedido. Sin embargo, una mezcla de estrategias puede ayudar a prevenirlos, y a evitar pérdidas millonarias a las empresas.
El no entrenar al personal a reconocer estafas cibernéticas como el phishing, y el envío de códigos maliciosos como virus y malware, es otro de los problemas que puede costar a las compañías, más allá del compromiso que tenga el proveedor de servicios gestionados con la seguridad. Siempre el eslabón más frágil de la cadena es el empleado sin conocimiento.
Por ejemplo, hace un par de años se informó que Sony Pictures sufrió una inmensa brecha de seguridad que implicó el robo y filtración de 11 terabytes de datos que incluían la información personal de los empleados, salarios, registros médicos, correos electrónicos internos, e incluso varias películas inéditas. Las pérdidas fueron millonarias, y el error vino de la parte humana.
Para este año, la compañía Forrester Research cree que 50% de los incidentes será causada por los empleados internos, ya sea por el mal uso de internet o por caer en ciberfraudes. A pesar de esta estadística preocupante, muchas empresas se hacen de la vista gorda, hasta que son vulneradas.
Sólo como ejemplo, la compañía Kaspersky Lab asegura que 80% de los incidentes de seguridad TI de las compañías españolas en 2014 los causaron los mismos empleados.
Los expertos recomiendan utilizar un enfoque impulsado por la capacitación del personal en temas de seguridad y protección de datos sensibles ante las amenazas internas y externas. Con la llegada del Internet de las Cosas, las empresas deberán estar más pendientes de proteger sus datos, pues no se sabe a ciencia cierta lo que está por venir en temas de ataques informáticos.