Una mirada a la seguridad desde afuera de TI

Publicado por Juan Diego Cortes R. on 07-dic-2016 10:35:50

Password

Durante los últimos años he encontrado que es bastante común para muchos de nosotros, usuarios de las áreas operacionales o administrativas de las empresas, pensar que la responsabilidad de garantizar la seguridad, confidencialidad, integridad y disponibilidad de la información que manejamos a diario recae en las áreas de infraestructura, sistemas, T.I. o incluso que es una labor del área jurídica, olvidando por completo tanto la responsabilidad individual, que frente a este tema, cada uno adquiere desde el momento mismo en que firma el contrato de trabajo como la confianza que inmediatamente deposita la empresa con éste simple acto.

Un rápido recorrido por las instalaciones de su empresa quizá me dé la razón. Durante esos minutos seguramente se encontrará con escenas repetitivas que evidencian el desconocimiento, la falta de compromiso o desinterés de algunos colaboradores quienes desprevenidamente dejan los informes confidenciales, el detalle de los pagos de nómina de toda la empresa, los extractos bancarios, los conceptos jurídicos de carácter reservado, los contratos con clientes y proveedores, los resultados de pruebas realizadas y todo tipo de documentos o carpetas con información reservada o sensible sobre los escritorios o en las impresoras. Si es más observador seguramente hallará discos duros, USBs o hasta contraseñas anotadas y pegadas en los monitores o debajo de los teclados y muy posiblemente los recibos de pago de la matrícula del colegio, la cuota de la hipoteca o la historia médica de los hijos.

No olvide mirar las pantallas de los desktops o laptops pues quizás se sorprenda al ver que más de una persona deja abierta su sesión, o Facebook, permitiendo el acceso a la información mientras va al baño o hace una pausa activa en la cafetería. Estos son algunos ejemplos que revelan que los controles tecnológicos que aplican los administradores de las plataformas, y de lo cual si son completamente responsables las áreas de T.I., no garantizan la seguridad de la información en las empresas.

Como bien es conocido el tema de la seguridad de la información no es menor, han sido bastante publicitadas las dificultades que han atravesado grandes empresas, públicas y privadas, nacionales e internacionales, a causa de un simple e inapropiado “click” en un archivo ejecutable. El impacto operacional, financiero y reputacional al que pueden enfrentarse las compañías es muy grande y complejo, así que bien vale la pena el esfuerzo y la inversión en tecnologías pero también en desarrollar, no sólo campañas de concientización, sino una cultura organizacional que incluya la seguridad de la información como pilar.

La capacitación es la clave:

¡Tranquilo! No todo está perdido en la defensa de la información. Recuerde que como mencioné existe una corresponsabilidad empresa–colaborador, así que debemos trabajar, y apoyar a T.I. desde las diferentes áreas,  en el fortalecimiento de ésta relación mutua; en definir y ajustar las estrategias, los procesos y los mecanismos para elevar el nivel de conciencia de todos los colaboradores frente a la seguridad de la información.

CapacitacionMejorar los controles tecnológicos es solo una parte de lo que debemos hacer para prevenir posibles casos de fuga, pérdida, acceso no autorizado o secuestro de información pues la sofisticación de las amenazas no dan espera; también es necesario mejorar los procesos de inducción y capacitación incluyendo un capítulo sobre seguridad de la información para que las personas aprendan a identificar los riesgos y cómo enfrentarlos.

El reto es identificar los factores de riesgo críticos de cada empresa, diseñar una estrategia de mitigación y buscar nuevas maneras de implementar  mejores prácticas que incluyan las tecnologías, los procesos y las personas, para este último vector es importante crear y promover campañas de sensibilización diferentes que llamen la atención de los distintos grupos etarios (generaciones) que convergen a diario para desarrollar las actividades de las empresas. Involucre a todos los stakeholders (accionistas, colaboradores, clientes, proveedores y contratistas, etc.), apóyese en la multiplicidad de canales a los que hoy tenemos acceso,  estructure mejor los mensajes, y sea más creativo con las estrategias de difusión para que todos los usuarios conozcan y se interesen por la seguridad de la información ya sea personal, familiar o corporativa. Además asegúrese de usar un tono amable y de fácil entendimiento para todos.  

Seguramente hacer todo esto será un trabajo desafiante pero que puede resultar atractivo y beneficioso para los intereses empresariales.

La invitación final es a convocar a la acción a todas las áreas: Gerencia, Sistemas, Infraestructura, Gestión Humana, Auditoria, Financiera, Operaciones, Mercadeo, etc y conformar un equipo interdisciplinario interesado en ir más allá de las tecnologías, en acercarse más a las personas y en salvaguardar la información que generamos y usamos diariamente. Todos somos responsables de la seguridad de la información y nuestras acciones y compromiso son la clave del éxito.

Topics: Educación