La información económica de los líderes

El uso de la tecnología depende de las personas

2015-sept-S2-Grupo-mesa-grupo-05 

– Deberíamos hablar también de las personas, porque parece como si la seguridad de los Sistemas de Información dependiese solo de la tecnología, pero el uso de la tecnología depende de las personas. ¿La dirección de las compañías es consciente de la necesidad de concienciar a los equipos de esto? ¿Cómo motivar a las personas para que la seguridad se ponga en el nivel que tiene que estar?

José Rosell (S2 Grupo ).- En efecto, los incidentes más graves de los últimos años relacionados con la seguridad de los Sistemas de Información vienen provocados por fallos de las personas ya que es el eslabón más débil en la cadena de seguridad. Los que nos dedicamos a la seguridad lo sabemos y los ciberdelincuentes también lo saben y lo que hacen es utilizar a la persona como vector de ataque contra la organización.

[mepr-rule id=”598″ ifallowed=”show”]

Miguel A. Juan

Miguel A. Juan

Por eso, como decía antes Miguel Ángel, una de nuestras líneas de trabajo es la concienciación, porque la tecnología es imprescindible pero no suficiente. La seguridad depende fundamentalmente de las personas y el problema es que la mayor parte de la plantilla no está en el área de TI y piensa que esto no va con ellos.

Cuando abordamos auditorías de seguridad, lo primero que hacemos es medir cuánto tiempo tarda en producirse una incidencia que propiciamos utilizando una técnica muy antigua: dejamos sobre cualquier mesa de la empresa cliente un USB con la leyenda Confidencial. Incluso en las empresas donde están más concienciados de los temas de seguridad, está garantizado que pincharán el USB en un PC y con eso ya se ha abierto una puerta en la red del cliente, porque ese USB puede tener un troyano que se instale automáticamente en el sistema.

Y quien dice esto dice cualquier otra cosa: conectarte con los sistemas de la empresa desde casa sin tener una conexión segura, dejarle la tableta profesional al niño para que se descargue un juego, utilizar la wifi de un hotel para descargar un archivo del servidor de la empresa, etc., son actuaciones no seguras.

Nuestro objetivo es conseguir que la gente sea consciente de que cualquier cosa que hacen con la tecnología tiene su impacto, pues aunque el CEO esté concienciado de los riesgos existentes, si el resto de la gente no lo está, tenemos el punto de ataque de los ciberdilencuentes.

Vicente Jara

Vicente Jara

Vicente Jara (Royo Group).- Estamos de acuerdo con que la concienciación es el primer paso, pero además existen ciertos conocimientos muy básicos que nosotros podemos dar por sentado, pero que el usuario general no tiene, por lo que es necesaria cierta formación que habría que impartir en las organizaciones sobre estos temas y hacerlo de manera reglada y organizada, porque, en caso contrario, se pierde mucho tiempo en explicar individualmente estos detalles.

Rafael Rosell (S2 Grupo).- Concienciar sin dar además herramientas y formación no sirve de nada. En las charlas de concienciación que damos desde S2 Grupo, que duran como hora y media, sí que lo hacemos: exponemos el problema y la solución y escenificamos los  incidentes porque es lo que mejor asimila la gente.

Más que ir solo al caso concreto, se trata de utilizar el sentido común, porque con el caso concreto no lo vas a poder abarcar todo. Ponemos unos 15 casos: el de la URL, el del fishing del Facebook con tres OOO en lugar de dos, el borrado seguro, etc. Pero la cantidad de posibles incidencias es tan larga, que es imposible cubrirlo todo. Por eso apostamos por el sentido común.

Ignacio Huet

Ignacio Huet

Ignacio Huet (Noatum ).- Además de la concienciación, uno de los aspectos básicos en cualquier modelo de seguridad de los Sistemas de Información es tener definida y conocida por todos la política de seguridad clara, donde esté clasificada la información por tipos y establecidos para cada tipo de información unos parámetros de seguridad: qué información tiene que estar encriptada y cuál no, quién  tiene permiso de acceso para cada tipo de información y qué puede hacer con ella, etc.

Pascual Rubio (Umivale ).- Lo relacionado con las personas es lo más difícil, porque soluciones tecnológicas puedes ir poniendo, pero la mayor incertidumbre está en el uso que las personas hagan de las herramientas que tienen a su disposición. En Umivale estamos convencidos de que uno de los principales riesgos que se puede tener es la fuga de información, intencionada o no.

Por ello, para nosotros es muy importante que todas las personas que trabajan en Umivale sean conscientes de la importancia de cuidar la información, no solo por las repercusiones legales que pueden tener, sino porque creemos que para que realicen su trabajo de la mejor forma posible, deben sentirse seguros a la hora de realizarlo.

Pascual Rubio

Pascual Rubio

Además, no debemos olvidar que, hoy en día, la empresa también puede responder penalmente si ocurre un problema; con lo que su labor protectora y de control es muy importante.

José Rosell (S2 Grupo).- Además hay otro problema: cuando adoptas medidas técnicas para vigilar, tienes que estar preparado desde el punto de vista procedimental para hacerlo, porque es lícito controlar el correo de un empleado para averiguar si está sacando información fuera, pero siempre y cuando la empresa haya hecho previamente los deberes en materia de políticas de seguridad, contratos, etc.

Nos encontramos con incidentes de fuga de información corporativa –por ejemplo, robo de la base de datos comercial–, y legalmente no puedes hacer nada si no te has preparado antes. Para poder intervenir en los equipos de la empresa, debe existir un documento o contrato con los empleados, informándoles que va a monitorizarse dicho equipo para verificar que se hace un uso adecuado del mismo.

Francisco Auñón (Hinojosa ).- Según nuestra experiencia, entendemos que el tema de concienciación de la plantilla tiene que ser una labor perseverante. Si establecemos un paralelismo con la prevención y seguridad laboral, en este tema hay carteles por toda la planta y a nadie se le ocurre, por ejemplo, entrar en fábrica sin calzado de seguridad, porque te lo están recordando a todas horas y te llaman la atención si no lo haces. En las políticas de seguridad de la información la acción también tiene que ser permanente.

– ¿Qué está haciendo cada una de las empresas presentes en la mesa para concienciar a la plantilla sobre seguridad de los Sistemas de Información?

Francisco Auñón

Francisco Auñón

Francisco Auñón (Hinojosa).- Hemos empezado por arriba, concienciando a la alta dirección, donde ya está claro que la seguridad en los Sistemas de Información es algo a lo que tenemos que dedicar nuestra atención, pero el mensaje tiene que ir calando hacia abajo. Ahora estamos definiendo los mecanismos de protección que tenemos que garantizar para obtener la certificación ISO 27001.

Vicente Jara (Royo Group).- Nuestro equipo directivo está ya concienciado de la importancia del tema y en el Plan Estratégico la seguridad es un apartado importante, pero no hemos abordado esa concienciación de manera sistemática para toda la organización y se debe hacer.

Ignacio Huet (Noatum).- Este mes de septiembre tenemos previsto hacer las sesiones de concienciación. En una primera fase participarán 160 empleados pertenecientes a los departamentos de Operaciones, Administración y Dirección. 

Servicio integral de seguridad

– Cómo clientes, ¿qué le piden a un proveedor de servicios de seguridad en los Sistemas de Información?

Vicente Jara (Royo Group).- Que gestionen la seguridad de nuestros Sistemas de Información de forma integral. Estamos hablando de todas las facetas de la seguridad: las tecnológicas, las sociales, etc.  Obviamente, si con cualquier proveedor te casas un poco, con un partner de esta envergadura tienes que tener un alto nivel de confianza.

Uno de los motivos por los que S2 Grupo trabaja para Royo Group es porque el contrato suscrito con ellos incluye que, incluso los programas con los que nos monitorizan, son de nuestra propiedad, de forma que, si ellos mañana se van, el software se lo queda Royo Group y lo podemos seguir explotando de manera autónoma. Esta aproximación no lo había visto en ninguna otra compañía. La confianza es la base del negocio de la seguridad.

Ignacio Huet (Noatum).- Como nosotros estamos lejos de tener ese conocimiento y esa capacidad técnica, lo que necesitamos es un aliado tecnológico al lado y que sea alguien en el que se pueda confiar.

Pascual Rubio (Umivale).- Sabemos que existe la posibilidad de que nos ataquen y podríamos tomar algunas medidas ante tal eventualidad, pero no sabríamos cómo establecer una malla de protección integral. Tal y como ha dicho Vicente Jara, no tenemos una visión tan amplia para saber cómo nos podemos cubrir de todos los ataques posibles. Necesitamos un proveedor que formule un plan de seguridad completo de nuestros Sistemas de Información y que cubra todos los riesgos.

De hecho, hemos sacado a concurso esta cuestión y en total se han presentado 15 empresas, pero ninguna nos está ofreciendo una solución global, aunque la de S2 Grupo es la más completa. Por ello, lo que ahora mismo hay en Umivale es preocupación, pues sabemos que tenemos un problema. Tomamos las medidas de protección que sabemos que tenemos que tomar ya que son tan grandes los riesgos que están apareciendo en nuestros días que se hace necesario contar con el partner adecuado para poder afrontarlos.

Francisco Auñón (Hinojosa).- Todos estamos buscando lo mismo: un partner que tenga conocimientos de experto, que conozca nuestro negocio, que analice dónde nos encontramos y dónde queremos llegar y que nos acompañe en ese camino con su conocimiento y experiencia. Lo que queremos contratar es conocimiento, pero con visión global del negocio.

[/mepr-rule]
[mepr-rule id=”598″ ifallowed=”hide”]

Para leer el artículo completo:
Suscríbase a la la edición digital de Economía 3;
con su cuenta de suscriptor

[/mepr-rule]

Suscríbete a nuestra newsletter