Seguridad: No todo es tecnología

De
Hola, paso por el blog (despues de un laaargo tiempo) para que reflexionemos sobre la forma que habitualmente se ha hecho seguridad y cómo esa visión ha dejado a un lado un factor primordial en la protección de los activos de información.

Como podrán inferir por el título del post, usualmente la seguridad de la información se han enfocado en la creación de controles tecnológicos para salvaguardar los recursos informáticos y no tan informáticos, pero se suele dejar a un lado el factor mas importante, el humano
Las personas, mal llamadas el eslabón mas débil.
Cuando hablamos sobre seguridad de la información (si tenemos la dicha, ya que generalmente se suele hablar de seguridad informática o el popular/marketero ciberseguridad), lo primero que viene a la mente es antivirus, firewall, sistemas de vigilancias, proxys, DLP (Sistemas de prevención de perdida de información), IDS (Sistemas de detección de intruso), IPS (Sistema de prevención de intruso), entre muchas otras tecnologías que nos ayudan a estar mas seguro (o menos inseguros), pero 
¿Qué pasa con las personas?

Imagen

¿Qué pasa con el factor humano que administra todo esos sistemas de seguridad o que simplemente en su día a día utiliza el correo, atiene del teléfono y está en contacto directo con el público? ¿Qué pasa con esas personas mayores que se ven abrumadas con la tecnología? ¿Estamos haciendo algo para que entiendan las amenazas de seguridad a la que están expuestas? ¿Estamos invirtiendo en ello?

Son muchas preguntas fáciles de responder, y generalmente la respuesta es no o mas o menos, sin saber lo crítico que puede ser para una organización este riesgo asociado al factor humano, si no me creen pregúntenle a Banco de Chile donde se especula que su perdida fue por dicho factor y como ahora si está tomando en serio el asunto.

Como en post anteriores he comentado, cuando hacemos evaluaciones de riesgos enfocado en seguridad solemos olvidar el factor humano y esto debe estar presente incluso cuando se evalúan inversiones de seguridad.
¿Cuanto invierte tu empresa en awareness/concientización de seguridad?
La inversión suele estar enfocada en traer nueva tecnología, pero ¿Cuanto estamos invirtiendo para que la seguridad sea un pilar dentro de nuestra organización, qué estamos haciendo para que la gente de manera natural evalué riegos, para que las personas dejen de percibir a la seguridad como un policía que esta detrás de todo intentando controlarlo todo, qué estamos haciendo para crear cultura de seguridad y educar a las personas?

En los próximos post escribiré justamente sobre esto, sobre la cultura de seguridad, ingeniería social y los aspectos legales asociados, ya que por mucha seguridad que queramos implantar, esta no puede violar los derechos de las personas, derechos que suelen estar plasmados en leyes (que difieren mucho entre países) y que nos dan directrices de hasta donde podemos llegar para proteger nuestros recursos.

Para despedirme les dejo la siguiente interrogante (Entre muchas otras que he hecho):
¿Es una violación a la privacidad un sistema que constantemente esté leyendo tus correos, pero sin esto, cómo te protejo?
*Vean este vídeo sobre cómo se puede hacer hacking mediante una llamada telefónica (vishing):

¿Cómo nos podemos proteger contra esto sino es con una cultura de seguridad?

Comentarios

Publicar un comentario

Populares

Seguridad: ¿Física, lógica o de la información?

De
Imagen
El concepto de seguridad ha sufrido cambios de identidad a través del tiempo, sin perder ciertos principios que garantizan la integridad, disponibilidad y confidencialidad de los activos. Cuando comenzamos adentrarnos en el mundo de la seguridad dentro de las organizaciones, solemos escuchar títulos tales como seguridad informática, cyber seguridad, seguridad física, lógica o simplemente seguridad de la información, que en general tienen dos vertientes en cuanto a su objetivo: Seguridad física : Su objetivo principal suele ser la seguridad de las personas y los recursos tangibles de la organización. Esta tipo de seguridad se caracteriza por tener mecanismos destinados a proteger físicamente recursos tales como personas, sala de procesamiento de datos, edificios, entre otros (Si sé que no es políticamente correcto decir que las personas somos un recurso/activo, pero para efectos prácticos lo llamaremos así, eso sí, somos el recurso más importante que existe).  Seguridad...
Leer más

Seguridad: Diseñar controles o vivir en el descontrol

De
Imagen
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles. Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa. Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agu...
Leer más

Presentación: Un poco de mi

De
Imagen
Veamos ¿quién soy? Si hablamos desde el aspecto profesional (No hablaré mucho del personal porque los aburriría mas), soy Ingeniero en Electrónica, estudie esa carrera en un lugar muy hermoso de Venezuela (Puerto Ordaz, deje mi hogar para irme a estudiar 5 años en otra ciudad). Me gradué con el honor de ser el número uno de mi promoción, creo que corrí con la suerte de que mi mejor amiga (por mucho más inteligente, dedicada y con mejores notas) no se pudo graduar en ese momento (Luego se graduó cum laude. Hola Lorena!). Conseguí trabajo en Caracas (La capital de Venezuela, y como toda capital, un caos), unos ocho meses después de haberme graduado (Me lo tome con calma, mis papas no tanto). En mi primer trabajo tuve un breve contacto con la seguridad informática, estuve desarrollando sistemas de seguridad con biometría (Un intento fallido que duro no más de 4 meses). De ahí pase a formar parte de una importante empresa de telecomunicaciones donde inicie verdaderamente mi carrera profe...
Leer más