Blog

Mejores prácticas: la seguridad no es solo una cuestión de planificación y tecnología

Share on linkedin
Share on twitter
Share on facebook
Share on google
Share on email
La seguridad no es solo una cuestión de planificación y tecnología (mentalidad cerrada ensimismada), sino también debe contener un componente de informar “más” a los usuarios y de mantenerlos informados (mentalidad de apertura hacia los usuarios).

La seguridad no es solo una cuestión de gestión de riesgos, y de planes integrales y tecnología, sino también de percepción y aceptación. En consecuencia, el equipo encargado de la seguridad de información o de ciberseguridad de la empresa no solo debe enfrentar y gestionar ciertas amenazas a la seguridad y así solicitar la cooperación del área de TI, sino que también debe contribuir a suministrar información a los usuarios y a mantenerlos informados cuando la organización está enfrentando ataques y amenazas, y así contribuir al mejoramiento de la postura de seguridad general de toda la organización.

Las mejores prácticas relacionadas con este objetivo incluyen la descripción en términos sencillos y claros de las amenazas a la seguridad (tanto las potenciales como las reales), información sobre el nivel actual de riesgo y amenazas (Threat Level) que enfrenta la organización, estadísticas sobre contención de ataques sufridos y actividades que se están llevando a cabo por parte del grupo de seguridad, así como planes de acción de emergencia desplegados.

Este caso ejemplifica muy bien lo expuesto anteriormente: cuando un importante Banco de la región sufrió un ataque masivo de un reconocido y potencialmente dañino Malware, el grupo de seguridad de TI envió un correo electrónico a sus usuarios que constaba de cinco piezas claves de información:

1. Una advertencia sobre el Malware: El grupo no incluyó ninguna explicación adicional sobre el mismo y asumió que el Malware era suficientemente conocido debido a la cobertura que los medios de comunicación del momento le estaban dando al tema. En este caso, este enfoque fue apropiado ya que era del común conocimiento de todo el personal el daño potencial que podía causar el Malware, debido no solo a las noticias del momento sino también a las advertencias realizadas anteriormente por el mismo grupo de seguridad en anteriores comunicados y campañas.

2. Estadísticas sobre la frecuencia y veces con la que el Malware atacó a los sistemas de correo electrónico del Banco, y sobre las cuales el grupo de seguridad había identificado y actuado en consecuencia.

3. Una solicitud de observar una mayor vigilancia y tener mayor cuidado para situaciones especiales en caso de que el evento vuelva a presentarse, como la posible reaparición del Malware pero de forma diferente como una mutación del mismo o através del empleo de diferentes medios de propagación (vectores de ataque).

4. Un breve resumen de las actividades que el grupo de seguridad estaba desarrollando, para enfatizar el hecho de que la amenaza se estaba tomando muy en serio debido a su alto impacto y también al esfuerzo que estaba haciendo del grupo de seguridad en mitigarla.

5. Información de contacto general para emergencias de Malware o de cualquier otra Ciberamenaza. Es una buena práctica recordarle con frecuencia al usuario las líneas y canales de atención a ciberemergencias con los que cuenta la organización.

Este ejemplo puede considerarse como la mejor práctica con respecto a mantener informados a los usuarios sobre lo que está ocurriendo y de cómo se debe enfrentar la situación en conjunto. No solo proporciona información y explicaciones adicionales, sino que también ayuda a la comunidad de usuarios dentro de una empresa a reforzar la confianza y a percibir la amenaza, sentirla real y que le puede ocurrir también a esa persona. Por lo general los usuarios no perciben la amenaza como si les pudiera afectar a ellos mismos, sino que en caso de que llegue a ocurrir afectará a otros usuarios y no a ellos.

Como puede verse, estas acciones contribuyeron a ver esta amenaza como algo real y no como un virus más, ya que el Banco (1) realmente había sido atacado por el Malware y no en un número menor de casos y (2) el grupo de seguridad se tomó la amenaza muy en serio y estaba trabajando arduamente para mitigarla.

En consecuencia, el nivel de conciencia de seguridad y la aceptación de que ese Malware era una verdadera amenaza probablemente aumentó en toda la organización. A pesar de ello, todavía hay margen de mejora. Mientras que el Malware y su daño potencial pueden considerarse de conocimiento público, algunas explicaciones y ejemplos concretos y reales ayudarán a completar el panorama que tienen los usuarios y la organización de la mayoría de los escenarios de amenazas, y esto ayudará a movilizar a la empresa en su conjunto, aprovechando la sinergia resultante y no solo al equipo de seguridad.

En el caso de enfrentar cualquier amenaza significativa a la seguridad de información, seguridad informática o ciberseguridad, se recomienda a los grupos encargados de la seguridad de la empresa que sigan esta mejor práctica y que la amplíen de acuerdo con sus requisitos individuales, la naturaleza intrínseca de la amenaza y sobre todo, a la cultura particular de la organización.

METRAIT

METRAIT

SUSCRÍBASE AHORA

Suscríbase ahora para recibir más contenido.