ASIBA - Asociación de Seguridad Informática de la Provincia de Buenos Aires |

El enemigo no siempre se encuentra fuera del perímetro organizacional

Uno de los factores críticos a la hora de gestionar la seguridad de la información en las organizaciones, es el factor humano.

Asimismo, que son muy considerados los esfuerzos que se dedican a la seguridad tecnológica y en consecuencia, la seguridad del factor humano a veces es menospreciada o en el peor de los casos, pasada por alto. En éstos casos, hablamos del enemigo que está dentro, bien sea por la intencionalidad de sus actos o bien sea por negligencia en el tratamiento de los activos de la información.

Si nos centramos en el marco normativo más reconocido, el que nos ofrece ISO 17799, hay varios puntos de control que tienen que ver con el factor humano. Además de la seguridad lógica, física y del entorno, el punto de control principal viene reflejado claramente en lo que se suele denominar seguridad de los recursos humanos. La idea de controlar al personal no está relacionada con la restricción de la libertad y la comodidad de los empleados en las organizaciones; sino de establecer mediante normas y políticas puntos de control en el factor humano que opera con la información, de modo que se puedan prever y eviten fugas de información, errores en el manejo de datos, brechas en la confidencialidad y que la protección de aspectos importantes, como los secretos de negocio y comerciales, sea una realidad no sujeta a posibles fisuras causadas por el espionaje csrporativo y/o electrónico o por la competencia desleal.

Manteniendo el marco normativo, en la cual se establece la necesidad de definir contactos con entidades de basto “Know-how” en el terreno de la seguridad de la información se debe a que estas dentro de las consultoría de seguridad frecuentemente y en forma periódica se realicen seguimientos de seguridad con los cuales se permite diagnosticar la situación de una empresa determinada, en cuanto a la robustez de su infraestructura técnica. Los análisis generales, las auditorías perimetrales, los test de intrusión, los análisis forenses, las pruebas de inteligencia y otros tipos de pruebas son muy útiles para saber si los sistemas informáticos están preparados para soportar ataques masivos, o si la seguridad será suficientemente robusta para evitar la posibilidad de que sea vulnerada. Por lo expresado, podemos decir que esto es el enfoque tradicional de seguridad ante los ataques de fuerza bruta y ante los intentos de intrusión sigilosos y técnicamente depurados, metodologías de ataque que aunque pueden actuar por separado, normalmente, suelen ir de la mano.

Una vez consolidadas las pruebas técnicas y reconocida y solucionada la seguridad sobre el entorno de IT, se deberían abordar las cuestiones de seguridad relativas al personal, ya que a fin de cuentas, el hardware y el software está operado, supervisado y administrado por usuarios. En esta etapa se empieza a considerar otra instancia de la seguridad de la información, estamos hablado de la gestión del riesgo. La cual se encuentra muy ligada a la gestión del personal.

Dado el nivel de dificultad que tiene la seguridad ligada al personal, esta fase de la seguridad de la información debe ser meticulosamente planificada.
El tratamiento de las medidas de control, aplicadas a seres humanos, requiere tacto y requiere tener en cuenta que cada empleado tiene sus propias determinaciones y condiciones laborales. Aún así, es posible planificar la seguridad del personal como un conjunto de medidas de control general, que hagan que éstas sean efectivas independientemente del sujeto afectado, y sin que éstas medidas supongan un perjuicio sobre los derechos y el confort de los trabajadores.

Las principales medidas de control que se suelen recomendar son las siguientes:

• Reducción del riesgo del factor humano: lo cuales pueden ocurrir entre otros debido a errores, pérdidas, robos y usos indebidos de la información. Donde practicas de buenos uso de la seguridad suelen recomendar: los acuerdos de confidencialidad, la selección rigurosa del personal y la inclusión de la seguridad dentro de las responsabilidades contractuales.

• Concientización del personal: en cuanto a política de seguridad y medidas que deben contemplar para evitar riesgos. La única manera de propagar la esencia de la gestión de la seguridad es que el personal conozca los riesgos, sus consecuencias y los principios básicos de gestión segura de la información.

• Minimización de las consecuencias de los incidentes provocados por el factor humano, tomando el error como fuente de aprendizaje para la prevención de futuros problemas. El error es una importante fuente de retroalimentación que puede permitir que en futuras repeticiones de una problemática permita minimizar los impactos sobre el negocio de las organizaciones. Es imperativo ajustar y dar a conocer los medios de difusión de los incidentes una vez que ocurran, de modo que todos los integrantes de la cadena de responsabilidad sepan qué han de hacer y a quién deben informar en todo momento. Cuando exista intencionalidad en el personal infractor, temerario o negligente, es evidente que la empresa debe recurrir a procesos disciplinarios y acciones legales.

• Estudio del personal crítico, es decir, del personal que debe cubrir las tareas críticas de la organización cuya importancia es vital para el desarrollo de la empresa. Los procesos críticos son más importantes que los procesos de apoyo, luego el personal que debe atenderlos es más importante para la empresa, independientemente que todos los empleados son de importancia vital para las organizaciones. De esto se deduce claramente que un error o mala intención de un usuario crítico normalmente será más dañino que un error de un empleado involucrado en un proceso no crítico.

Existen otras medidas que pueden complementar a estas cuatro medidas generales. No son las únicas, ni tienen por que ser el referente a la hora de gestionar la seguridad del personal, pero en circunstancias normales, son cuatro conjuntos de factores que deberían ser vigilados estrechamente.

A modo resumen, podemos decir que la seguridad sobre el personal interno de ser controlado en forma rigurosa dadas las facilidades con las que cuentan. Por ello, a continuación se dan una serie de recomendaciones que entre muchas otras pueden ser utilizadas para el control interno.
Estas recomendaciones se encuentran orientadas a las amenazas de carácter intencional, las de carácter no intencional pueden ser remediadas con políticas de concientización y aprendizaje.

1. Vigilar los puntos críticos de negocio y no las salidas de emergencias, o sea, vigilar las medidas y objetivos a priori.

2. Ser proactivo. Trate de anticiparse a los movimientos de los posibles infractores.

3. Trate la seguridad en forma independiente y con objetividad.

4. Otorgar a los empleados privilegios en función de las actividades que realizan.

5. Estar atento a comportamientos sospechosos de los usuarios.

6. No desatender lo obvio.

7. Definir procesos claros y aplicables de vigilancia.

8. Registrar todas las actividades crítica, respetando la privacidad de los usuarios.

9. Comunicar claramente a los empleados cuáles son los riesgos y las consecuencias del mal uso de las políticas de seguridad de la información.

10. Establecer una relación fluida con los responsables de cada área de la organización, dado que los mismos pueden reconocer en forma inmediata el impacto ocasionado por una acción indebida de un usuario.

El camino para que el factor humano sea un factor controlado y seguro es largo y tortuoso. Quizás es buen momento para que usted comience este camino, si todavía no lo ha hecho.

< VOLVER A NOTAS