Las estadísticas son asombrosas: El año pasado, Symantec bloqueó un total de más de 5,5 mil millones de ataques de malware, un aumento del 81% con respecto al 2010, e informó de un aumento del 35% en los ataques basados en web y un aumento del 41% en las nuevas variantes de malware.
Si esos hallazgos, documentados en el más reciente informe anual de seguridad y amenazas de internet, causan que los líderes de TI se pregunten si han hecho todo lo posible para proteger a sus empresas, deberían considerar mirarse en el espejo.
Eso se debe a que los encargados de seguridad, en su lucha por establecer las políticas y procedimientos que sean a la vez eficaces y fáciles de usar, a menudo olvidan un tercer y crucial paso, según los expertos: Cómo comunicar sus objetivos de seguridad de tal manera de que la población corporativa no solo entienda, sino que también responda.
"El cumplimiento es necesario, pero no es suficiente", señala Malcolm Harkins, vicepresidente y CISO de Intel.
La meta de Harkins ‘es conseguir que los empleados vayan más allá del cumplimiento hacia un compromiso completo’ por la protección de la información de la compañía. "Si ellos están comprometidos en hacer las cosas bien y proteger la empresa, y si están provistos con la información correcta, entonces, ellos van a tomar decisiones razonables de riesgo", señala.
De seguro, los empleados no están involucrados en cada tipo de violación a la seguridad corporativa (vea el top 10 de tipos de amenazas), pero el comportamiento y el incumplimiento de los usuarios están implicados en muchas, incluyendo malware para móviles, esquemas de redes sociales y ataques avanzados de destino. Estos ya no están siendo dirigidos a los CEO y miembros de la alta directiva, sino al personal de otras funciones como ventas, relaciones de recursos humanos, administración y relaciones públicas/de medios, pues los criminales buscan“fruta que esté colgando bajo”, según el informe de Symantec.
Contra tal embestida, el típico póster con consejos de seguridad pegado en la pared es inútil, señala Julie Peeler, directora de fundación en International Information Systems Security Certification Consortium -también conocido como (ISC)² -una empresa global sin fines de lucro que educa y certifica a profesionales de la seguridad de la información. "El entrenamiento en seguridad no es un evento de una sola vez. Tiene que estar integrado a través de la organización entera, y tiene que venir desde la cima", señala la ejecutiva.
Cuando se trata de hablar de seguridad de una forma que los usuarios escuchen, los gerentes deben asegurarse que los empleados entiendan la postura de seguridad de la empresa desde el primer día, indica Peeler. Ellos deben estar dispuesto a firmar acuerdos de confidencialidad, asistir a la capacitación y participar en la toma de conciencia, todo ello con la meta de seguir siendo vigilante.
Las empresas que son más exitosas en su mensaje de seguridad se han movido más allá de un enfoque centrado en TI hacia un modelo más holístico. Computerworld encontró a tres empresas que hacen precisamente eso -Intel, Royal Philips Electronics y Endurance Services- para encontrar la forma en que la seguridad de la información sea una responsabilidad corporativa.
Ponga las amenazas en contexto
La gente no interioriza las prácticas de seguridad recomendadas con solo decirles qué hacer o asustarlos con el cumplimiento, señala Peeler, y Harkins está de acuerdo. "Usted no quiere que el cumplimiento de la seguridad informática esté basada en el miedo", agrega. "El miedo es igual que la comida chatarra -puede soportarlo por un rato, pero a largo plazo no es saludable".
La gente no interioriza las prácticas de seguridad recomendadas con solo decirles qué hacer o asustarlos con el cumplimiento, señala Peeler, y Harkins está de acuerdo. "Usted no quiere que el cumplimiento de la seguridad informática esté basada en el miedo", agrega. "El miedo es igual que la comida chatarra -puede soportarlo por un rato, pero a largo plazo no es saludable".
En su lugar, ambos expertos dicen que, es más probable que los empleados estén motivados en el cumplimiento si los gerentes de seguridad pueden poner los riesgos en un contexto que se relacione con ellos directamente.
La mayoría de los empleados saben que toda transgresión de seguridad afecta no solo los datos, sino a toda la marca y reputación de la empresa -pero algunas unidades de negocios no cubiertas totalmente podrían no entender su papel potencial en una violación a la seguridad, añade Harkins.
Un equipo de marketing, por ejemplo, puede que desee poner en marcha un nuevo sitio web interactivo por delante de sus competidores, explica. El contenido del sitio parece inofensivo, ya que no incluye propiedad intelectual, solo unas cuantas pantallas interactivas y videos.
Pero ¿qué pasa si las vulnerabilidades dejadas por un proveedor de otro fabricante que ayudó a desarrollar el sitio permiten que un hacker implante malware en uno de los enlaces del sitio? Explicar el riesgo antes de que suceda, y de un modo que sea específico para la línea de negocio del departamento, ayuda a garantizar que el grupo hará lo que sea necesario para mitigar los daños, señala Harkins.
Los ejemplos del mundo real también pueden conducir el mensaje cuando se ponen en contexto. Cuando una violación de los datos hace noticia, úsela como una herramienta de enseñanza -en las clases de capacitación, a través de correo electrónico o de presentaciones de video.
Discuta la probabilidad de que un incumplimiento similar se produzca en su organización. Pregunte: ¿Cómo sería si un incumplimiento similar afecta a nuestra empresa o a una unidad de negocio específica? ¿Qué personas o unidades de negocio deberían seguir estando alerta frente a un ataque al similar? ¿Qué medidas de seguridad ya tiene implementadas para protegerse contra tal ataque?
Haga phishing, a nivel interno
Otra técnica de comunicación efectiva que algunas compañías han elegido consiste en poner en marcha sus propias estafas simuladas de phishing, ver cómo muchos empleados caen, y a continuación, utilizan la oportunidad de ofrecer asesoramiento y evitar un próximo ataque -cuando puede ser que sea real.
Otra técnica de comunicación efectiva que algunas compañías han elegido consiste en poner en marcha sus propias estafas simuladas de phishing, ver cómo muchos empleados caen, y a continuación, utilizan la oportunidad de ofrecer asesoramiento y evitar un próximo ataque -cuando puede ser que sea real.
Royal Philips Electronics recientemente puso en marcha un programa piloto de ataques controlados dephishing, señala Nick Mankovich, CISO.
Al trabajar con un socio profesional de phishing, a quien Mankovich se negó a nombrar, Philips simula una estafa de correo electrónico que trata de conseguir que los empleados hagan clic en un enlace de un sitio web e ingresen su contraseña y nombre de usuario. Cuando el inocente empleado hace clic en el link, aparece una ventana que le explica su error y ofrece consejos para evitar ser engañado la próxima vez.
"No se trata de avergonzar o hacer sentir menos a nadie. Es realmente acerca de dar material que signifique algo cuando se da clic en el enlace erróneo", señala Mankovich.
En función de la naturaleza exacta del ataque, los consejos pueden incluir asuntos como: ¿El mensaje de correo electrónico venía de una fuente de confianza? ¿Hubo algo mal escrito o inusual en el enlace? ¿Probó pasar el mouse sobre el enlace y comprobar la parte inferior de la pantalla para ver si coincidían?
Por el momento, tres experimentos de phishing, que involucran a 250 empleados cada uno, se han llevado a cabo; eventualmente, Mankovich espera para poner a prueba los conocimientos en seguridad de los 90 mil empleados de Philips a nivel mundial.
"Al final de cada piloto hablamos con algunos usuarios para ver lo que ellos sentían acerca de la experiencia -tanto a los que cayeron en el phishing como a los que no", señala Mankovich. "Nosotros, por lo general, tenemos un porcentaje muy pequeño de personas que se comportaron mal, y esas personas recibieron el mensaje".
Para más ataques simulados, "decidimos ejecutarlos por siempre. Esos ganchos personales hacen muy bien" – Aunque las futuras pruebas de phishing serán cada vez más sigilosas e intrincadas, agrega.
Proteja para permitir
A la luz de las cada vez más virulentas ciberamenazas, los líderes de TI luchan por darle a las unidades de negocio la libertad de elegir sus propias aplicaciones, poner en marcha sus propias iniciativas en línea y adoptar nuevos dispositivos, y poner los frenos adecuados.
A la luz de las cada vez más virulentas ciberamenazas, los líderes de TI luchan por darle a las unidades de negocio la libertad de elegir sus propias aplicaciones, poner en marcha sus propias iniciativas en línea y adoptar nuevos dispositivos, y poner los frenos adecuados.
Pero es posible encontrar un balance entre los dos, señala Harkins. Intel adoptó su mantra "proteger para habilitar" hace tres años. En lugar de centrarse principalmente sobre el bloqueo de los activos, la misión del grupo de seguridad de la información se ha desplazado para permitir los objetivos de negocio, mientras se aplica un razonable nivel de protección", comenta Harkins. "Cuanto más coloque en el flujo de información, más lenta será la velocidad del negocio, lo que crea un riesgo estratégico", explica Harkins.
Para habilitar los objetivos de negocio mientras se comunican las políticas de seguridad adecuadamente, TI necesita tres cosas, añade Harkins: Un nivel adecuado de visión de la situación y necesidades de la empresa; informes de las unidades técnicas y de negocios sobre los riesgos versus los beneficios inherentes a una decisión dada en seguridad; y un canal claro de comunicación entre todos los niveles y unidades del negocio.
El plan BYOD de Intel es un producto de su política "proteger para habilitar". Ya en el 2009, Intel dio un nuevo enfoque que admitía los dispositivos personales en la empresa. "Yo desafié a mi equipo para que trabajara con los departamentos de recursos humanos y el área legal de Intel, con el fin de definir las políticas de seguridad y su uso. Esto nos permitió poder comenzar a permitir el acceso al correo electrónico corporativo y a los calendarios desde los teléfonos inteligentes propiedad de los empleados en enero de 2010", señala Harkins.
La iniciativa ha tenido un gran éxito en permitir que los usuarios adopten sus dispositivos móviles en el lugar de trabajo, manteniendo los datos corporativos seguros, e Intel continúa definiendo nuevas políticas de uso y seguridad a medida que más dispositivos nuevos entran a la empresa.
El proveedor de seguros Endurance Specialty Holdings Ltd., trata de establecer que las políticas no limiten a los trabajadores a la hora de hacer su trabajo, señala su CIO, Tom Terry. "Generalmente hay una buena razón por la que están preguntando por tal software, herramienta o dispositivo en particular. Nosotros intentamos entender el problema que ellos están tratando de resolver y darles las herramientas para abordar sus necesidades de una manera segura".
Por ejemplo, los dispositivos USB se necesitaban en muchas unidades de negocios para transferir datos, pero la organización de TI sabía que los dispositivos USB pueden ser un importante contribuyente a la pérdida de datos si no se gestionan adecuadamente. De modo que el equipo de TI de Endurance dijo que "sí, pero…" mediante la distribución de los dispositivos, y a la vez explicando e instituyendo una política para asegurarse de que ellos estén protegidos por contraseña y cifrado.
"Cuando la empresa ve que trabaja con ella de un modo colaborativo, entonces, puede mover el dial hacia adelante" en términos de una respuesta corporativa comparativa a la seguridad, señala Terry.
Promueva la seguridad de arriba a abajo
Las iniciativas de seguridad deberán ser soportadas y comandadas en los niveles superiores de la organización. En Endurance, la seguridad de la información es un artículo que está a la orden del día y un objetivo estratégico del negocio, comenta Terry. "Ser capaz de trabajar con su equipo ejecutivo y la alta dirección para ayudar a compartir el mensaje, hace que sea mucho más fácil en lugar de que sea una responsabilidad exclusiva de TI".
Las iniciativas de seguridad deberán ser soportadas y comandadas en los niveles superiores de la organización. En Endurance, la seguridad de la información es un artículo que está a la orden del día y un objetivo estratégico del negocio, comenta Terry. "Ser capaz de trabajar con su equipo ejecutivo y la alta dirección para ayudar a compartir el mensaje, hace que sea mucho más fácil en lugar de que sea una responsabilidad exclusiva de TI".
Royal Philips reconoció la necesidad de la comunicación de arriba abajo cuando creó una organización de nivel corporativo llamada Information Security, y nombró a Mankovich como su primer CISO en enero del 2012. El grupo "se centra en un terreno de juego simple, que es la protección adecuada de la información que afecte al negocio de Philips", señala Mankovich. "Eso podría referirse a mi computadora portátil, mi bloc de notas, incluso a la información que está en mi cabeza. Y es responsabilidad de todos".
Comparta el historial de ataques de su compañía
A pesar de que es controversial, el intercambio -en la confianza, por supuesto- del número y la naturaleza de los intentos de ataques sobre los sistemas de su propia empresa, o los incidentes entre las unidades del negocio, puede ser un fuerte motivador hacia el cumplimiento de la seguridad, señala Peeler. "La gente realmente no entiende cómo pueden estar bajo ataque los propios sistemas de la empresa", agrega.
A pesar de que es controversial, el intercambio -en la confianza, por supuesto- del número y la naturaleza de los intentos de ataques sobre los sistemas de su propia empresa, o los incidentes entre las unidades del negocio, puede ser un fuerte motivador hacia el cumplimiento de la seguridad, señala Peeler. "La gente realmente no entiende cómo pueden estar bajo ataque los propios sistemas de la empresa", agrega.
Harkins está de acuerdo. "Los líderes de seguridad han conseguido mostrar la lógica, los datos y relacionarlos a las metas del negocio y, si no se abordan, ¿qué impacto pueden tener en el logro de esas metas?", comenta. "Cuando sus predicciones se empiecen a cumplir, estará demostrando que sabe lo que está haciendo y que no está tratando de impedir el negocio, sino que está tratando de ayudarlo".
Intel ha encontrado maneras de darle un buen uso a los datos de violaciones sin compartir demasiada información confidencial. Por ejemplo: "Teníamos un empleado que nos robó propiedad intelectual hace unos años y fue condenado a principios de este año, le compartimos la historia a todos los empleados, cómo nos enteramos, y les recordamos las expectativas que tenemos sobre ellos", relata Harkins.
Intel también publicó sus cifras de computadoras portátiles pérdidas o robadas, y les recordó a sus empleados de que deben cuidar sus equipos. También compartirá detalles de investigaciones generales de incidentes, incluidas las equivocaciones incurridas por sus empleados, tales como colocar esta información en un medio social, y describir el riesgo que se creó para la compañía, señala Harkins. "Pero no compartimos quién lo hizo u otros detalles que hubieran afectado el honor o creado problemas para el empleado", aclara.
Otros tienen sentimientos encontrados. Mankovich señala que el enfoque de transparencia "implica consideración", pero él se preocupa de que cualquier información que se comparta pueda saltar la valla al mundo exterior con demasiada facilidad. "Mi primera reacción es que, con 124 mil empleados en 60 los países, no podríamos evitar que se haga pública", señala Mankovich. "Sabiendo que debemos considerar el lado negativo de darle inteligencia de ataque a los chicos malos. Eso en sí mismo podría aumentar la situación de riesgo".
Seguridad: Finalmente emocionante
En última instancia, convencer a los empleados para que sigan siendo vigilantes es un trabajo compartido entre TI y la empresa. "Realmente tenemos que entender cómo está cambiando la fuerza de trabajo, cómo estamos cambiando la fuerza de trabajo, y cómo están cambiando las expectativas de las personas que utilizan nuestros productos o se asocian con nosotros", resume Mankovich. "El trabajo es interminable, pero es emocionante".
En última instancia, convencer a los empleados para que sigan siendo vigilantes es un trabajo compartido entre TI y la empresa. "Realmente tenemos que entender cómo está cambiando la fuerza de trabajo, cómo estamos cambiando la fuerza de trabajo, y cómo están cambiando las expectativas de las personas que utilizan nuestros productos o se asocian con nosotros", resume Mankovich. "El trabajo es interminable, pero es emocionante".
– Computerworld US