Existe en nuestro medio cualquier cantidad de material que trata sobre los ajustes que se deben hacer a los elementos físicos, técnicos y administrativos que constituyen la infraestructura de información de una organización. Muchos de esos materiales hablan de lo último en tecnología, otros tantos de estándares de la industria, de mejores prácticas y una cantidad no menos importante de la compleja intervención del factor humano.
En seguridad tenemos algo que los estadounidenses llaman “enforcement”, lo que podría traducirse como “el hacer cumplir”. Viene a colación porque mientras exista participación humana para procesos aún no automatizados en la organización, siempre podrán darse eventos muy difíciles de controlar, como la negligencia, colusión, fraude o divulgación no autorizada de contenido. Cualquiera de ellos puede dar al traste con la mejor tecnología y comprometer el valor de la compañía en cuestión.
Usted, amigo lector, al igual que yo, tenemos la oportunidad de leer artículos técnicos, asistir a presentaciones tecnológicas o inclusive tomar muy buenos cursos de capacitación. Pero las más de las veces todo ese conocimiento se queda en un grupo muy reducido de personas.
Los ciberdelincuentes frecuentemente buscan la ruta más sencilla para atentar contra la organización. Por ejemplo, con base en ingeniería social pueden llegar a personal vulnerable e ir escalando privilegios poco a poco dentro de una organización.
He aquí la importancia de que las empresas desarrollen y entreguen periódicamente un entrenamiento de concientización, dirigido principalmente a los empleados no técnicos. Ellos deben tener un primer nivel de conocimiento de cómo pueden colaborar para “hacer cumplir” los lineamientos de seguridad que la organización desarrolla para protegerse.
No pretendo decir que otros personajes de la empresa no deban recibir un entrenamiento de concientización. De hecho, este entrenamiento debe adecuarse a cada tipo de audiencia para maximizar su efectividad. El lenguaje no puede ser el mismo para todos, pero el objetivo final del entrenamiento sí debe ser que todos tomen una postura responsable hacia la seguridad. Ese simple hecho aumenta la barra a los potenciales atacantes.
Escuchamos frecuentemente del ransomware y sus terribles consecuencias. Fríamente hablando, el éxito de este tipo de amenazas disminuiría drásticamente si las potenciales víctimas supieran:
- Que no deben abrir de buenas a primeras contenidos de los que no tengan total certeza sobre su origen.
- Si aprenden y desarrollan buenos hábitos de uso de los recursos de cómputo de que disponen, desde la estación de trabajo hasta el móvil que utilizan en sus actividades cotidianas.
- Si mantienen actualizadas sus aplicaciones y los sistemas operativos en los que se encuentran instaladas.
Desde su perspectiva, los empleados no técnicos pueden pensar que su aportación para robustecer la seguridad es mínima, pero si hablamos en términos de la colectividad el beneficio es bastante palpable.
Una del anecdotario…
Una vez, hace ya algunos años, en un viaje de trabajo en Aguascalientes, me quedó medio día y quise tratar de aprovechar ese tiempo prospectando nuevos clientes. Me encontré una pequeña empresa japonesa que era proveedora de la armadora local. Al pasar por ahí, me estacioné, bajé del automóvil y me acerqué a la caseta de vigilancia para entregar mi tarjeta de presentación y folletos de nuestros productos y servicios. Más o menos así fue mi diálogo con el vigilante:
-Buenas tardes, ¿podría dejarle información para el gerente de sistemas de su empresa?
-Sí, se lo recibo.
-Muchas gracias
-Saco mi agenda y pregunto:
– ¿Me podría dar el nombre del gerente de sistemas para dar seguimiento?
– Si lo que me entregó es del interés del gerente, él se pondrán en contacto con usted.
-Sí, le entiendo, pero es más fácil que yo les llame y que pueda brindarles una mejor atención.
-Como le dije, si es de su interés, él se pondrá en contacto con usted.
-Entiendo, ¿estará el gerente? Tal vez me pueda recibir de una vez.
-Todo es previa cita señor.
-Ok, ni modo, pero muchas gracias por atenderme.
“¡¡Infeliz!!, se dio cuenta de que era de la capital”, pensaba para mí mismo, pero poco a poco me cayó el veinte de que la seguridad empieza en el mismísimo perímetro de la empresa. Tenía que admitirlo: este policía estaba cumpliendo con su trabajo. En seguridad una muy buena costumbre es aplicar el principio de “tienes permiso de hacer lo estrictamente necesario para que realices tu función…. y no más”. Seguramente las funciones de ese policía eran servir como un Control de Acceso para todos los empleados, proveedores y visitantes, bajo una regla muy simple: Si no tiene explícitamente permitido el acceso (a las instalaciones o a las personas), entonces está prohibido. De todas maneras: “¡¡Infeliz!!”
Esteban San Roman es un experimentado profesional de TI con más de 25 años en la industria y con amplia trayectoria en Servicios Profesionales, Consultoría, Arquitectura e Ingeniería. Actualmente imparte cursos certificados de ISC2, Mile2 y brinda servicios de coaching para empresas en preventa de productos o servicios. esteban.sanroman@gmail.com
