Sunday, February 19, 2006

8 errores comunes

Sin embargo, en la práctica se observan en la mayoría de los casos, una serie de errores comunes en la organización y gestión de la seguridad:
  1. Inexistencia de un análisis previo de riesgos para evaluar las posibles amenazas que, aprovechando una vulnerabilidad en los activos de la organización, ocasionen un impacto económico en la misma. Es difícil, por no decir imposible, adoptar una visión estratégica y de negocio de la seguridad, cuando no se dispone de ninguna herramienta que determine el valor de los activos que intento proteger. Si no cuantifico y clasifico mis activos no sabré cual es la inversión en seguridad (personal, hardware, software, etc) que deberé mantener para evitar la pérdida, alteración, acceso no autorizado o indisponibilidad de los activos que se deben proteger.
  2. Asignar una cantidad insuficiente de personal no cualificado para la definición, desarrollo y mantenimiento de la seguridad. Por lo general, al considerarse la seguridad como un coste y no como una inversión, los departamentos de seguridad se encuentran tradicionalmente escasamente dotados para realizar sus funciones. Adicionalmente, no se suele proporcionar formación a este personal para que adquieran el conocimiento necesario para realizar esta tarea con garantías.
  3. Falta de comprensión de la íntima relación entre la seguridad de la información y el crecimiento del negocio (las organizaciones suelen entender la necesidad de una adecuada seguridad física pero son incapaces de ver las consecuencias de una pobre seguridad de la información, cuando cada vez más dependen en mayor medida de sus activos lógicos).
  4. Incapacidad para gestionar los aspectos operativos de la seguridad. En muchos casos, se procede a la implantación de medidas correctoras y/o preventivas pero no se establecen mecanismos de control y actualización de dichas medidas (las organizaciones identifican la seguridad de la información como un aspecto estático y puntual, no como un proceso dinámico).
  5. Centrar la responsabilidad de la seguridad de la información únicamente en mecanismos tecnológicos de seguridad (muchas organizaciones creen que por el solo hecho de tener instalado un firewall están protegiendo su negocio contra cualquier tipo de ataque, ignorando la posibilidad de una sanción legal por cesión indebida de datos personales, por ejemplo).
  6. Incapacidad para darse cuenta de la influencia del valor de su información y su reputación en el aspecto económico del negocio.
  7. Respuestas reactivas y correctivas a los problemas de seguridad e implantación de soluciones a corto plazo. No se adopta una estrategia proactiva que prevenga los incidentes de seguridad ni se minimizan los riesgos, sólo se buscan soluciones rápidas según se detectan. Esto, unido a la incapacidad de saber cual es el valor de los activos protegidos, provoca una gestión de la seguridad ineficaz que tiene como consecuencia un consumo de recursos humanos y económicos destinados a la gestión de la seguridad que no corresponde con el necesario.
  8. Pretender que los riesgos desaparecerán si son ignorados (la gestión de la seguridad es un aspecto de baja prioridad para la organización). Esta visión miope es muy habitual en aquellos sectores donde la seguridad no se percibe como un componente crítico para el negocio. Se asume que alguien con el suficiente tiempo y recursos puede comprometer siempre una organización. Al fin y al cabo, se tiende a pensar que si organizaciones como la NASA, Microsoft y los grandes bancos son carne de titular por violaciones de seguridad, es inútil adoptar una estrategia de seguridad. Eso es un argumento tan sólido como decir que no voy a poner un cerrojo a la puerta de mi casa porque existen bandas organizadas con suficientes medios para reventar cualquier dispositivo de seguridad física. Y aunque nunca se pueda garantizar al 100% la seguridad de la información de la organización, el objetivo es minimizar en lo posible, siguiendo criterios de coste-beneficio, los riesgos particulares que amenazan a una organización, según sus exigencias internas y externas y el sector en el que opere.

0 Comments:

Post a Comment

<< Home