Mi anterior colaboración “Jugando a crear cultura de seguridad de la información – De la teoría a la práctica” iniciaba con la oración “La gran mayoría de las personas desconoce los temas de seguridad de la información y su alcance”. Dicha frase sí que es válida en el tema que abordaré en este nuevo artículo que tiene que ver con la democratización de la tecnología, y por ende de la información, en la sociedad actual.
Factores como el aumento de la población, la tenencia y acceso a dispositivos móviles, la computación en la nube y las redes sociales han traído como consecuencia nuevos retos para las organizaciones y para nuestra vida, especialmente en los menores de 30 años, ya que por ejemplo una fotografía o un mensaje de propagación viral puede afectar positiva o negativamente la imagen o reputación de una causa, persona, entidad e inclusive, por qué no, de un Estado.
Se estima que actualmente 6 de cada 10 empleados, entre 18 y 35 años, utilizan su dispositivo móvil personal (teléfono inteligente, pocket PC o tableta) en su entorno laboral. La cada vez más creciente moda o necesidad de usar equipos móviles propios en el trabajo (lo que se conoce como BYOD, bring your own device), traspasando el perímetro organizacional, ya sea para revisar correos, ejecutar aplicaciones corporativas o almacenar documentos de ofimática, ha incorporado nuevos riesgos no considerados anteriormente en las empresas, entre los cuales se pueden mencionar:
- Interceptación de información.
- Propagación de malware.
- Corrupción de dispositivos o pérdida de datos.
- Exposición de datos sensibles.
- Dependencia de empleados trabajando en dispositivos móviles que los hace improductivos en caso de daño, pérdida o robo de los mismos, aunado a la falta de copias de respaldo de información.
- Intrusión en la red de la empresa.
Hoy en día también debemos reconocer que la presencia de las empresas en las redes sociales (Youtube, Facebook, Twitter, etcétera) es necesaria para potencializar el logro de sus objetivos de negocios. Y es en las redes sociales donde encontramos noticias y desarrollo de campañas tanto positivas como negativas, que podrían afectar a las empresas (p. ej.: #odioaempresa1).
Por tanto, frente a estos nuevos desafíos, los directivos deben ser conscientes de los riesgos que están por llegar, o ya han llegado sin que ellos lo noten, y, sobre todo, requieren saber qué hacer para prevenir eventos no deseados (riesgos) que afecten, por ejemplo, la privacidad de los datos o confidencialidad de la información.
Es por ello que en sus prácticas de gobierno de seguridad de la información hay que introducir el liderazgo, estructuras de relaciones y procesos organizacionales encaminados a proteger la información no sólo de las amenazas tradicionales sino de toda la nueva serie que resulta del advenimiento de estas nuevas tendencias.
Hay que pensar en controles, enmarcados bajo el reconocido esquema de defensa en profundidad (defense in depth), en los cuales los sistemas de seguridad contienen diferentes capas, cada una independiente de la anterior funcional y conceptualmente, que contribuyan a identificar de manera oportuna un ataque o minimizar el impacto sobre las organizaciones. Señalo algunos ejemplos a continuación:
- Establecimiento y aplicación consistente de políticas y procedimientos claros y concisos frente al uso de dispositivos móviles por parte de empleados.
- Gestión de dispositivos móviles (mobile device management, MDM) que permita aprovisionamiento, configuración y monitoreo de dispositivos móviles a gran escala.
- Opciones de seguridad como servicio (security as a service, SaaS) para defensa ante los riesgos de seguridad.
- Uso de certificados de seguridad y cifrado de tráfico con SSL (secure sockets layer).
- Cifrado de discos.
- Virtualización de escritorio.
- Mecanismos de eliminación segura y remota de datos.
- Aseguramiento de dispositivos.
- Mantenerse informado y al día de los cambios en los mercados y la tecnología.
- Crear conciencia en el personal sobre sus responsabilidades, riesgos y controles.
Alguna idea para cerrar como por ejemplo: por lo aquí planteado lo invito, amable lector, a seguir conociendo más acerca de seguridad de la información para tomar mejores decisiones al respecto.
Deja tu comentario