Está en la página 1de 11

[28/03/2014] "Lucharemos en la playa. Lucharemos en los campos de aterrizaje.

Lucharemos
en los campos y en las calles. Lucharemos en las colinas. Nunca nos rendiremos", dijo Winston
Churchill en su famoso discurso en junio de 1940 ante los ataques nazis en Inglaterra. Su
compromiso inicial con el objetivo de la victoria, por largo y duro que sea el camino", es una
analoga adecuada a las batallas de seguridad que enfrentan las empresas.
Los chicos malos son persistentes y sofisticados, y estn haciendo incursiones. Es difcil ser
optimista cuando los clientes, los inversionistas y los reguladores esperan que protejamos
totalmente los valiosos activos y preservemos la privacidad, mientras que algunos gobiernos y
proveedores de los que dependemos ponen ellos mismos en peligro nuestros datos, software y
redes.
La lucha por la seguridad es ms difcil que nunca. La mayora de las organizaciones est
luchando la guerra de hoy con herramientas y enfoques de ayer -como la proteccin de
permetros con contraseas y firewalls-, y estn perdiendo. Hay demasiado nfasis en
amurallar nuestros datos y sistemas, y la creencia errnea de que el enfoque de asegurar el
permetro es adecuado.
Hablamos con docenas de expertos en seguridad, expertos de la industria, y ejecutivos de
negocios para obtener un mejorframework respecto a la seguridad actual. Lo que sigue es
eseframework.
Enfquese en los riesgos y las personas, no solo en los dispositivos y datos
Un enfoque mucho ms defensivo se construye alrededor de una mentalidad de riesgo. S, un
riesgo clave es la prdida de datos crticos o sensibles, por lo que debe proteger
adecuadamente los datos. Sin embargo, existen otros riesgos, como la interrupcin de las
operaciones del negocio, la reputacin daada, el incumplimiento de las normas, los riesgos de
inversin, y la prdida de la propiedad intelectual. Cul de estos peligros le dolera ms?
Cmo evala las amenazas? Cmo protegerse de estas amenazas, desde las mayores
hasta las de menor impacto? Las protecciones perimetrales a menudo no abordan estas
preocupaciones.
Por ejemplo, el procesador de tarjetas de crdito Visa International lleva a cabo una evaluacin
de riesgos completa de todos sus procesos, incluyendo -aunque no solo eso- aquellos donde la
tecnologa soporta esos procesos de negocio. "El riesgo est donde una vulnerabilidad se junta
con una amenaza, y adoptar una visin holstica de los riesgos es la base de un enfoque slido
de la seguridad", seala George Totev, ex vicepresidente de seguridad de informacin,
gobernanza, riesgo y cumplimiento de Visa.
En esencia, la evaluacin de riesgos es lo que haces cuando compra un seguro. Cuando
compra un seguro, usted (o por lo menos su aseguradora) est pensando acerca de las
vulnerabilidades que llevan a malas consecuencias.
La evaluacin de riesgos y proteccin de riesgos varan segn la industria y la empresa.
Algunas requieren del uso de la tecnologa, algunas requieren cambios de procesos, y otras
requieren cambios en el comportamiento de las personas. Otras organizaciones se ven
obligadas a hacer frente a algunas formas de riesgo de seguridad debido a la regulacin, con
independencia de su propio anlisis de riesgos. Su enfoque se convierte en satisfacer los
requerimientos de una manera eficaz y sin una carga indebida sobre sus operaciones,
finanzas, o estrategia.
Cualquiera que sea la filosofa de riesgo de una empresa y sus requerimientos externos, ser
selectivo y enfocarse en los riesgos ms altos es un enfoque prctico.
Pero, cmo centrarse en esos riesgos? La mayora de las empresas, as como la industria de
proveedores de seguridad, tratan a la seguridad como un desafo tcnico. Se esfuerzan por
que el software, hardware y servicios identifiquen y reduzcan los riesgos. Pocos involucran a su
gente -las mismas personas que crean y utilizan la informacin que se est siendo protegida.
Muchas organizaciones excluyen activamente a su personal de los enfoques de seguridad,
porque no confan en la gente.
No hay una tecnologa que sea una bala de plata en seguridad, y automatizar a la gente fuera
de la ecuacin de la seguridad, tiene el efecto perverso de hacer que la gente sea perezosa o
indiferente ante la seguridad. Despus de todo, TI se encargar de ello, y asumir la culpa
cuando hay una fuga o ruptura.
Es por eso que una estrategia de seguridad para hoy debe cambiar el nfasis principal de
defensa de los dispositivos a la gente. Los ataques con xito clave hoy involucran a personas,
ya sea los que utilizan mtodos de ingeniera social como elphishing, a poner fsicamente el
hardware intercepcin en terminales de venta automatizadas.
La seguridad es un juego dinmico de relatividad del riesgo -es decir, son sus defensas
mejores que el nivel actual de amenazas? Las palabras "dinmico" y "juego" son relevantes. La
seguridad sigue las leyes de la entropa: Los niveles de energa disminuirn si no se renuevan.
Se requiere una vigilancia constante. Y una mentalidad de juego es crucial para mantener la
vigilancia activa y adaptativa. Despus de todo, cada nueva defensa es desafiada por un nuevo
truco. La gente es naturalmente buena en esto, y debe atraer a su gente para aprovechar esa
capacidad humana, no los automatice fuera de sus defensas.
Tiene que estar en la mentalidad de las personas que crean las amenazas. Ellos juegan con
sus empleados, usted debe jugar con ellos -y sus empleados deben ser participantes activos
como sus ojos y odos, no como usuarios cegados.
En otras palabras, deje de tratar a su gente como un problema que contener, y en su lugar
empiece a hacer que formen parte de la solucin.
Cinco dimensiones del nuevo modelo de seguridad
Aunque est a aos de distancia de la perfeccin, han surgido patrones bastante plausibles
para permitir a los negocios comenzar con los ajustes necesarios. El nuevo modelo es aditivo.
Usted debe seguir las mejores prcticas que emple en las zonas ms altas de riesgo,
mientras incorpora el riesgo y la orientacin de las personas de una defensa mejorada





El nuevo modelo tiene cinco dimensiones:
1. Limite el enfoque de seguridad de informacin a los activos crticos esenciales.
2. Proteja los activos clave con sistemas de defensa de varias capas.
3. Involucre a las personas que utilizan la informacin para proteger los activos con los que
trabajan.
4. Forme un equipo con sus socios de negocios para impulsar los sistemas inmunolgicos de
ellos y suyos.
5. Haga de la seguridad un problema de negocio -no solo un problema de TI
1. Limite el enfoque de seguridad de informacin a los activos crticos esenciales
La seguridad perfecta es imposible, Sin embargo, proteger todo por igual ha sido el objetivo de
seguridad insostenible en muchas organizaciones.
Un enfoque basado en el riesgo con un mejor esfuerzo es ms racional. Aplique sus mejores
esfuerzos a lo que es ms valioso y a lo que es ms impactante en su negocio. Al hacerlo,
prioriza los niveles de riesgo, lo cual debera ser un terreno familiar para los CIO y otros lderes
de TI desde su trabajo en continuidad de negocio y recuperacin de desastres.
Determinar cules son los activos ms valiosos de la organizacin es de enorme importancia,
pero a menudo es controvertido. Algunas organizaciones creen que la informacin es el activo
que requiere ms proteccin. Sin embargo, si determinados atributos de riesgo son asignados
a un conjunto de activos -datos, software, redes y personal- se vuelve evidente que hay mucho
ms que debe ser tomado en cuenta al hablar de penetracin y ataques a los activos.
La nocin de clasificar los activos de informacin del negocio es el factor menos comn en la
seguridad de la informacin empresarial en la actualidad, segn se mostr en una reciente
encuesta de las publicaciones hermanas de InfoWorld, las revistas CIO y CSO, llevada a cabo
por PwC.

Los elementos incluidos en las polticas de seguridad de las empresas. Clasificacin del valor el centro del anlisis de riesgo-
es lamentablemente el elemento comn. Fuente: Encuesta Global del Estado de la Seguridad de la Informacin 2013 por PwC,
revista CIO y revista CSO.

Este enfoque basado en el riesgo no es fcil, y requiere de un gran cambio mental en muchas
organizaciones. Pero hay una buena razn para hacer el esfuerzo: Cuanto ms grande es el
alijo de activos y mayor es la complejidad de las normas, ms difcil es protegerlos. Un enfoque
ms centrado y menos complejo podra equilibrar mejor el riesgo y los beneficios, y le permitira
lograr realmente la proteccin deseada.
2. Proteja los activos clave con sistemas de defensa de varias capas
Cualquier enfoque que requiera una prevencin al 100% tiene garantizado el fracaso. No hay
forma de asegurar que algo est perfectamente protegido, as que busque la capacidad de
recuperacin en lugar de la prevencin absoluta. Reconozca que las defensas tienen que ser
construidas a partir de varios componentes.
Un modelo mejor para la seguridad es uno biolgico, el que puede recuperarse y funcionar a
pesar de las infecciones o daos. El sistema biolgico busca confinar una intrusin al primer
sistema infectado, de modo que no haya una penetracin ms amplia. El sistema biolgico
supone que habr riesgos en constante evolucin, y uno de ellos puede estar atacando ahora
mismo. Todos estos principios deben aplicarse a las tecnologas y prcticas empresariales que
se utilizan para asegurar su negocio.
Debe asumir que est comprometido y desarrollar una estrategia en torno a ese supuesto.
(Ahora est claro que la mayora de las empresas ya estn en peligro, ya sea por delincuentes
cibernticos, competidores, o gobiernos). Entienda que hay muchas fuentes de infeccin, no
solo el centro de datos, la PC o en el dispositivo mvil.
La mayora de los sistemas biolgicos tambin utilizan redundancia. Haga lo mismo con sus
enfoques de seguridad. El CIO de Intel, Kim Stevenson, ha descrito un enfoque de tres niveles
que la empresa ha utilizado de manera efectiva, que se basa en este principio.
Un enfoque en capas para acceder tiene sentido, usando solo lectura o contenedores en capas
-el equivalente de mantener su joyas preciosas en una caja fuerte en casa o de poner seguro a
su auto an en el garaje. Debera combinar esa estrategia con la proteccin bsica contra
accidentes, tales como solicitar encriptacin y password de ingreso para acceder a la
informacin en primer lugar -el equivalente de echar llave a la puerta de la casa y configurar la
alarma antes de salir.
Los sistemas de defensa de mltiples capas por software se basan en gran medida en una
combinacin de escaneos humanos y escaneos por software diseados para identificar
vulnerabilidades. Incruste la seguridad dentro del ciclo de desarrollo de software con tcnicas
como el anlisis de riesgo y la revisin de cdigo (algunas veces por una organizacin de
control de calidad), y utilice software comercial que revise las vulnerabilidades. En la actualidad
no hay ningn software que pueda escanear todas las vulnerabilidades potenciales, as que
combine revisiones manuales con mltiples escaneos de diferentes paquetes de identificacin
de amenazas. Enfrente las vulnerabilidades en el diseo en lugar de hacerlo despus de los
hechos, seala el ex ejecutivo de seguridad de Visa, Totev.
Un buen recurso para entender qu buscar es el Open Web Application Security
Project (OWASP), una organizacin sin fines de lucro que proporciona informacin sobre
vulnerabilidades y sugiere medidas de mitigacin.
Una capa crtica es la de gestin de identidad. Hay varias tecnologas disponibles para hacer
eso, con diferentes obstculos que deben superar los usuarios y los sistemas. La cantidad de
puntos de control de identidad que imponga debe estar directamente relacionada con su
anlisis de riesgo. Y, por supuesto, tambin debe utilizar el aislamiento para limitar el alcance
de un compromiso. Los sistemas biolgicos suelen hacer las dos cosas.
Un ejemplo de la combinacin de la autenticacin basada en la identidad y el aislamiento es
Salesforce.com. Utiliza autenticacin de dos factores en dos ocasiones para permitir el acceso
a sus entornos de produccin, en los que el dao de una intrusin podra ser muy alto: El
usuario debe satisfacer la autenticacin de dos factores para entrar en un entorno de
confianza, luego tiene que satisfacer una autenticacin de dos factores diferente para entrar en
un entorno operativo que se entrega a travs de un terminal tonto, desde el que no se puede
mover o copiar datos. Un estndar diferente se aplica al acceso al correo electrnico, en el que
el perfil de riesgo es distinto.
La gestin de la identidad sera ms eficaz si puede ser aplicada a los datos en s mismos. La
DRM (gestin de derechos digitales) a nivel de informacin llevara dicha tecnologa a un nuevo
nivel de seguridad -pero solo si puede ser desplegada de una manera estndar, junto con las
lneas que InfoWorld ha sugerido en su propuesta InfoTrust. La identificacin de confianza
emparejada con permisos consistentes y porttiles reducira el acceso inapropiado a la
informacin, an si los dispositivos y las redes son violados.
3. Involucre a las personas que utilizan la informacin para proteger los activos con los
que trabajan, tanto crticos y no crticos
Hasta que las mquinas se apoderen totalmente del universo, las personas son la ltima fuente
de amenazas, y frecuentemente el punto de entrada a vulnerabilidades. Tambin son una
fuente de prevencin.
Algunas de las amenazas ms sofisticadas surgen a travs de la ingeniera social, donde los
chicos malos se cuelan a travs de las redes sociales y de contactos de correo electrnico de
usuarios desprevenidos -dirigindose especialmente a ejecutivos y personal clave. A partir de
ah, de manera deliberada y con sigilo, los chicos malos pueden evaluar las disposiciones de
seguridad de la empresa en el mismo lugar y trabajar alrededor de ellas. Pngase en los
zapatos y la mentalidad tanto de los chicos malos, de su propio personal y de sus socios de
negocios.
Debido a que frecuentemente la gente es el conducto para la intrusin, inclyala en la
prevencin. Deje de ponerlos automticamente fuera del proceso, como ha sido el modo
estndar de TI en las dos ltimas dcadas. El estilo en boca cerrada no entran moscas de la
era pre-PC era efectivo, haciendo de la seguridad responsabilidad de todos, no algo que los
empleados podan trasladar a otra persona. Hoy esto debe ser nuevamente ser un componente
en la seguridad de la informacin moderna. No solo ayudar a mantener a los individuos a
evitar conductas riesgosas, sino que habr muchos ms ojos observando si algo puede estar
mal.
Al traer de vuelta a la gente a la ecuacin de seguridad, no descuide el entrenamiento y
concientizacin de la fuerza laboral y de los socios. S, la gente puede aprender y aplicar lo que
se le ensea. Ese fue el caso en la Universidad de Long Island, la cual varios aos antes
comenz una iniciativa de concientizacin de seguridad coincidente con el cambio de PC a
iPads, apps mviles y servicios en la nube. La universidad est sujeta a la HIPPA (Ley de
portabilidad y auditora de seguros de salud) y las regulaciones del FRCP (Procedimiento Civil
de Reglas Federales) debido a su escuela mdica y su estatus como proveedor de prstamos
federales, pero descubri que poda manejar sin problemas tales regulaciones, segn inform
el CIO George Baroudi. Lo que result diferente fue cmo TI se comprometi con los alumnos y
la facultad, como un participante de cumplimiento de concientizacin en el proceso, no como
un desarrollador de limitaciones tecnolgicas en el stano, seal a Information Week.
Algunas industrias han descubierto la manera de hacer que los empleados participen
activamente en el logro de los comportamientos clave. Las personas son jugadoras naturales, y
la creacin de incentivos de juego para evitar o detectar amenazas puede ser un poderoso
antdoto. Abordando un enfoque de administracin de la mejora de la calidad, algunas
empresas han usado tcnicas de gamificationcomo publicar el nmero de das sin incidentes,
creando tanto conciencia como una participacin activa en favor de una conducta ms seguir.
Felizmente, si los empleados son revisados, entrenados y monitoreados para sean dignos de
confianza, el riesgo de lo dems -es decir las cosas que se sabe que son de menos riesgo- se
vuelven de un riesgo an menor.
La buena noticia es que un porcentaje significativo de empresas tiene mtodos de seguridad
orientados a muchas personas, como muestra la encuesta de CIO/CSO/PwC, an si no
necesariamente son manejadas en una forma holstica, pan-empresarial. Sin embargo, ese
enfoque de panorama general es crtico para el xito, porque solo entonces usted puede hacer
la arquitectura y desplegar un sistema que funcione.

Medidas de seguridad de la informacin en el lugar relacionados a las personas. Fuente: Encuesta Global del Estado de la
Seguridad de la Informacin 2013 por PwC, revista CIO y revista CSO.

4. Forme un equipo con los socios comerciales para aumentar el sistema inmunolgico
de ellos y el suyo
Ahora vive en un gran mundo de informacin digital y procesos que comprende las fuentes
empresariales de material en bruto, produccin, distribucin, servicio posventa y soporte. Esto
es verdad ya sea que est en un negocio que produce tangibles (como autos y productos de
electrnica) o servicios (como escuelas y hospitales).
En la ltima dcada ms o menos, las empresas se han vuelto altamente virtualizadas gracias
al outsourcing (con proveedores, contratistas y servicios de nube), fuerzas laborales
distribuidas (tambin una combinacin de personal y contratados), espacios de trabajo
distribuidos (oficinas y satlite y domsticas), espacios de trabajo tercerizados (comocall
centers), y personal digital nmada que trabaja en cualquier lugar.
No hay manera de construir una pared alrededor de este ecosistema moderno. Usted ve esta
futilidad en la prdida de efectividad de defensas tradicionales, como passwords, proteccin de
virus, deteccin de intrusos, y otros mtodos de deteccin basados en firma. Las amenazas
tambin demasiado dinmicamente, y de hecho ahora se pueden auto adaptar. Los chicos
malos sofisticados van directamente a los servidores o a las redes y puentean las protecciones
porpassword de los dispositivos de los usuarios. Los recientes robos masivos de datos de
clientes en los principales retailersy las revelaciones del ex contratista de la NSA, Edward
Snowden, deberan hacer evidente toda esta situacin. Aunque muchas compaas se
preocupan sobre si iCloud o Google Drive es una amenaza, sus sistemas principales ya estn
profundamente comprometidos ms directamente.
Las nociones de dentro y fuera de la empresa ya no funcionan de manera clara. Como
consecuencia, un problema principal para los CIO es poner el riesgo en cascada. Los clientes
pueden confiar en la empresa con la cual ellos interactan, pero puede esa confianza
extenderse a todas las otras entidades que pueden ser parte de la cadena de
aprovisionamiento?
Debera trabajar con sus proveedores y otros socios de negocios para aplicar los conceptos
descritos en este artculo a todos sus sistemas, no solo a aquellos con los que interactan.
Despus de todo, probablemente hay ms conexiones que explotar de lo que cualquiera se
imagina, y tener un framework comn de seguridad probablemente funcionar mejor que tener
mltiples frameworks. (Por supuesto, la implementacin necesitar variar en base al anlisis
principal de riesgo para cada entidad).
Compartir las mejores prcticas crea sinergia. Y una sociedad activa es de lejos un mejor
enfoque que solo usar amenazas contractuales.
Puede esperar ms demandas de sus clientes, reguladores, inversionistas y otros para
demostrar su destreza en seguridad, y quizs demandar testear independientemente esas
defensas. Como parte de este aseguramiento, undeclaracin de aplicabilidad ser solicitada;
en la misma deben estar las especificaciones de cun ampliamente son adoptadas las medidas
de seguridad. Esto se enlaza con el punto de no puede proteger todo de igual manera que ya
hemos revisado. El costo de la seguridad se est elevando. Aunque son una parte inevitable
del quehacer empresarial, los costos pueden ser administrados a niveles razonables si se
enfoca en las cosas que importan realmente.
Algunas empresas adoptan un enfoque de lista de verificacin de seguridad, en el que
pueden enumerar las tcticas que hemos seguido para explicar las perdidas inevitables de
informacin a los reguladores y clientes. Ellos implementan a sabiendas este enfoque de lista
de verificacin no solo porque funciona, sino porque minimiza el riesgo de demandas o multas.
La estrategia de lista de verificacin es una acusacin del status quo -una estrategia que
reconoce tcitamente que el enfoque actual de permetro est fallando pero no se ofrece una
mejor alternativa. La pretensin de una lista de verificacin ya no es adecuada.
5. Haga de la seguridad un problema de negocio -no solo un problema de TI
La seguridad de la informacin no es solo un problema de TI o de tecnologa, es
fundamentalmente un problema de administracin que pocas organizaciones tratan como tal.
S, la empresa mirar al CIO y al CISO por liderazgo en seguridad de la informacin, pero la
posibilidad de auditar tiene que ser ms ampliamente compartida. Las organizaciones de
seguridad y tecnologa no pueden mantenerse auditables, si la accin de los individuos fuera
de TI es la base de compromisos.
Es hora de pensar en este evolutivo modelo de seguridad de la informacin como uno de
seguridad integral, que usa mltiples tecnologas y tcnicas de administracin, de amplia
aceptacin y con capacidad de ser auditado, construido en capas y ajustado para los riesgos y
valor estimados.
La gobernanza amplia es clave, se requiere acciones y responsabilidades en toda la
organizacin, comprometiendo a los empleados, proveedores, el nivel C, y al directorio como
participantes proactivos. Requiere administracin para evaluar, gestionar activamente, y
mantener bajo responsabilidad a los gerentes, empleados y socios de negocios -no desviar la
responsabilidad como una falla de tecnologa de TI o de la organizacin de seguridad.
Por ejemplo, est el departamento de marketing usando una nube o proveedores de anlisis
de negocios aprobados por el CIO, que hayan demostrado capacidades de seguridad? Los
proveedores que habitualmente acceden a datos crticos usan procesos compatibles con la
seguridad? El directorio se comunica a travs de canales protegidos o distribuye datos
financieros y de venta como adjuntos a travs de e-mails en ambientes abiertos? (Los e-mails
nunca son seguros, y los avisos legales al final del mensaje son paliativos falsos).
Necesita una gobernanza de seguridad pan-empresarial similar a cmo opera el rea legal o de
RR.HH. en compaas lderes, con un compromiso que va desde la junta de directores hasta
los empleados individuales. Note la frase opera en compaas lderes, eso es clave, porque
muchas empresas confunden muchas reglas y procedimientos con la gobernanza efectiva. Si
amarra a su personal en nombre de la seguridad, no ganar seguridad, y -de hecho-
probablemente usted sea menos seguro, mientras la gente lucha por cumplir o, peor, deja de
intentar en lugar de trabajar activamente alrededor de las barreras que usted cre.
La gobernanza eficaz significa permitir y animar a la gente a hacer las cosas correctas por el
camino de menor resistencia cuando sea posible. Monitoree el rendimiento, eduque y capacite
cuando sea necesario, y aplique tanto iniciativas y penalidades cuando ocurran
incumplimientos.
Por ejemplo, si tiene muchos empleados que trabajan en el campo o en casa, ofrezca una
opcin de almacenamiento seguro en red que funcione con dispositivos populares, de modo
que no estn tentados de usar uno propio o, peor, usar memorias USB, CD grabables y e-mails
personales para mantener acceso a datos cuando no estn en su escritorio. Haga algo
de phishing interno para identificar empleados que necesitan ms entrenamiento, o quizs
imponga penalidades como la prdida de bonos o inclusive la prdida del puesto por
reincidencia o por fallas flagrantes.
Vacunarse contra la gripe no le garantiza que no contraiga la gripe, pero es una herramienta
poderosa que funcionar mejor si es combinada con una buena higiene y otras defensas.
Algunas empresas desarrollan auto evaluaciones o contratan rutinariamente hackers ticos.
Varios grupos industriales tienen evaluaciones que puede hacer, o contratar a un profesional
para que las haga. selas. Las agencias de gobierno como el FBI tambin pueden ayudar.
Las tecnologas de monitoreo y de anlisis de patrones, como DLP (data loss
prevention), logging de base de datos, rastreo de eventos de seguridad y herramientas de
informacin forense, tambin pueden ayudar. No son tan tiles como un escudo preventivo en
tiempo real, pero pueden ofrecer el beneficio que realmente necesita: identificar robos de
datos, tomar huellas, y ganar el til entendimiento de cmo son movidos los datos, quin est
haciendo qu con esto y cundo est intentando abandonar sus sistemas.
La era digital lleg antes de que los profesionales de seguridad pudieran adaptarse
Es verdad que los esfuerzos para digitalizar los negocios durante las ltimas dos dcadas se
han producido con rapidez y, a menudo de manera no tan obvia, hasta que se alcanz un
punto de inflexin. Es comprensible que el modelo de seguridad de la informacin no haya
evolucionado tan rpidamente como el entorno en el que operan.
Pero es claro que la falta de igualdad es enorme, y la nica va razonable es adaptarse al
nuevo ecosistema: cambie su enfoque hacia los riesgos y a las personas.
Es hora de dejar de tratar de proteger la informacin en la era de conexin a la red, de la
misma manera que lo hizo en la era solo en el centro de datos. El enfoque de permetro es
equivalente a la filosofa de la Edad Media de proteger las ciudades con murallas cuando el
enemigo tiene superioridad area.
Por supuesto, puede y debe poner un permetro de defensa alrededor de los ncleos ms
importantes. El control de acceso es la mejor defensa, ya que mientras menos personas y
dispositivos puedan acceder a lo que es verdaderamente importante, el riesgo intrnseco que
usted tiene es menor. Si concede el acceso, debe confiar en aquellos que tienen el acceso.
Su atencin debe centrarse cada vez ms en riesgos integrales y en contar con gente ms
preparada en su estrategia de seguridad de TI. La seguridad de la informacin no es una
poltica que se establezca una vez y ya puede olvidarse de ella, ni tampoco es un ejercicio
tecnolgico. Los riesgos cambian, la naturaleza de la informacin cambia, as como lo hace el
contexto del negocio, las relaciones comerciales, y los contextos operativos. La gente siempre
jugar alrededor de los obstculos. Teniendo una organizacin en la que la conciencia de la
seguridad de la informacin y la responsabilidad pertenece a todos, incrementa la posibilidad
de que los desconocidos sean identificados ms fcilmente.
Las empresas tienen que aceptar que se producirn prdidas e infracciones, y as cambiar la
mentalidad de la prevencin absoluta por la de prevencin especfica, combinada con
resiliencia y una nocin de prdida aceptable -el enfoque comn de los sistemas biolgicos y
humanos.
Por 40 aos, los esfuerzos de seguridad se han centrado en el equipo y, en menor medida, en
los datos -la eliminacin del factor humano en un intento de reducir las variaciones de sorpresa
y de comportamiento. Eso fue un error. Su vulnerabilidad clave y las principales lneas de
defensa son una y la misma: la gente. La seguridad es, en ltima instancia, una
responsabilidad humana compartida por todos -no es solo un problema. La gestin de la
mentalidad de seguridad debe hacerse estndar en toda la empresa, en donde la
responsabilidad es real y la conciencia es alta. Se debe llegar a ese enfoque de en boca
cerrada no entran moscas que los expertos en seguridad de defensa en general llaman un
modelo de contrainteligencia.
No pretendemos sugerir que este cambio sea fcil y rpido. Pero es necesario.
Bud Mathaisel, Terry Retter, y Galen Gruman, InfoWorld (EE.UU.)


Bud Mathaisel es ex CIO mundial de Disney, Ford, Solectron y Achievo, que ahora investiga,
escribe y hace consultora en tecnologas de la informacin. Tambin es miembro de la junta
directiva y el comit de auditora de E2Open y consejero especial para Honda Finance,
Amrica del Norte.
Terry Retter pas 14 aos como director del Centro de PwC para la Tecnologa y la Innovacin.
Antes de eso, fue lder senior de TI de DHL y CIO en otras empresas. Actualmente Retter
asesora empresas en el uso efectivo de Internet y marketing en medios sociales, en base a sus
ocho aos de operar una tienda en lnea al por menor.
Galen Gruman es editor ejecutivo de InfoWorld que se centra en la consumerizacin de las TI y
la tecnologa mvil.