Los chicos malos son persistentes y sofisticados, y estn haciendo incursiones.

Es difcil ser
optimista cuando los clientes, los inversionistas y los reguladores esperan que protejamos
totalmente los valiosos activos y preservemos la privacidad, mientras que algunos gobiernos y
proveedores de los que dependemos ponen ellos mismos en peligro nuestros datos, software y
redes.
La lucha por la seguridad es ms difcil que nunca. La mayora de las organizaciones est
luchando la guerra de hoy con herramientas y enfoques de ayer -como la proteccin de
permetros con contraseas y firewalls-, y estn perdiendo. Hay demasiado nfasis en
amurallar nuestros datos y sistemas, y la creencia errnea de que el enfoque de asegurar el
permetro es adecuado.
En esencia, la evaluacin de riesgos es lo que haces cuando compra un seguro. Cuando
compra un seguro, usted (o por lo menos su aseguradora) est pensando acerca de las
vulnerabilidades que llevan a malas consecuencias.
La evaluacin de riesgos y proteccin de riesgos varan segn la industria y la empresa.
Algunas requieren del uso de la tecnologa, algunas requieren cambios de procesos, y otras
requieren cambios en el comportamiento de las personas.
La mayora de las empresas, as como la industria de proveedores de seguridad, tratan a la
seguridad como un desafo tcnico. Se esfuerzan por que el software, hardware y servicios
identifiquen y reduzcan los riesgos.
TI se encargar de ello, y asumir la culpa cuando hay una fuga o ruptura.
Los ataques con xito clave hoy involucran a personas, ya sea los que utilizan mtodos de
ingeniera social como elphishing, a poner fsicamente el hardware intercepcin en terminales
de venta automatizadas.
La seguridad es un juego dinmico de relatividad del riesgo -es decir, son sus defensas
mejores que el nivel actual de amenazas?
Y una mentalidad de juego es crucial para mantener la vigilancia activa y adaptativa. Despus
de todo, cada nueva defensa es desafiada por un nuevo truco. La gente es naturalmente buena
en esto, y debe atraer a su gente para aprovechar esa capacidad humana, no los automatice
fuera de sus defensas.
Tiene que estar en la mentalidad de las personas que crean las amenazas. Ellos juegan con
sus empleados, usted debe jugar con ellos -y sus empleados deben ser participantes activos
como sus ojos y odos, no como usuarios cegados.
En otras palabras, deje de tratar a su gente como un problema que contener, y en su lugar
empiece a hacer que formen parte de la solucin.




1. Limite el enfoque de seguridad de informacin a los activos crticos esenciales
La seguridad perfecta es imposible, Sin embargo, proteger todo por igual ha sido el objetivo de
seguridad insostenible en muchas organizaciones.
Determinar cules son los activos ms valiosos de la organizacin es de enorme importancia,
pero a menudo es controvertido. Algunas organizaciones creen que la informacin es el activo
que requiere ms proteccin. Sin embargo, si determinados atributos de riesgo son asignados
a un conjunto de activos -datos, software, redes y personal- se vuelve evidente que hay mucho
ms que debe ser tomado en cuenta al hablar de penetracin y ataques a los activos.
Cuanto ms grande es el alijo de activos y mayor es la complejidad de las normas, ms difcil
es protegerlos. Un enfoque ms centrado y menos complejo podra equilibrar mejor el riesgo y
los beneficios, y le permitira lograr realmente la proteccin deseada.
2. Proteja los activos clave con sistemas de defensa de varias capas
Cualquier enfoque que requiera una prevencin al 100% tiene garantizado el fracaso. No hay
forma de asegurar que algo est perfectamente protegido, as que busque la capacidad de
recuperacin en lugar de la prevencin absoluta. Reconozca que las defensas tienen que ser
construidas a partir de varios componentes.
Un modelo mejor para la seguridad es uno biolgico, el que puede recuperarse y funcionar a
pesar de las infecciones o daos. El sistema biolgico busca confinar una intrusin al primer
sistema infectado, de modo que no haya una penetracin ms amplia. El sistema biolgico
supone que habr riesgos en constante evolucin, y uno de ellos puede estar atacando ahora
mismo. Todos estos principios deben aplicarse a las tecnologas y prcticas empresariales que
se utilizan para asegurar su negocio.
Entienda que hay muchas fuentes de infeccin, no solo el centro de datos, la PC o en el
dispositivo mvil.
, tales como solicitar encriptacin y password de ingreso para acceder a la informacin en
primer lugar -el equivalente de echar llave a la puerta de la casa y configurar la alarma antes de
salir.
Los sistemas de defensa de mltiples capas por software se basan en gran medida en una
combinacin de escaneos humanos y escaneos por software diseados para identificar
vulnerabilidades
y utilice software comercial que revise las vulnerabilidades
combine revisiones manuales con mltiples escaneos de diferentes paquetes de identificacin
de amenazas.
Una capa crtica es la de gestin de identidad.
La identificacin de confianza emparejada con permisos consistentes y porttiles reducira el
acceso inapropiado a la informacin, an si los dispositivos y las redes son violados.



3. Involucre a las personas que utilizan la informacin para proteger los activos con los
que trabajan, tanto crticos y no crticos
Algunas de las amenazas ms sofisticadas surgen a travs de la ingeniera social, donde los
chicos malos se cuelan a travs de las redes sociales y de contactos de correo electrnico de
usuarios desprevenidos -dirigindose especialmente a ejecutivos y personal clave. A partir de
ah, de manera deliberada y con sigilo, los chicos malos pueden evaluar las disposiciones de
seguridad de la empresa en el mismo lugar y trabajar alrededor de ellas.
Debido a que frecuentemente la gente es el conducto para la intrusin, inclyala en la
prevencin. Deje de ponerlos automticamente fuera del proceso, como ha sido el modo
estndar de TI en las dos ltimas dcadas.
No solo ayudar a mantener a los individuos a evitar conductas riesgosas, sino que habr
muchos ms ojos observando si algo puede estar mal.
Felizmente, si los empleados son revisados, entrenados y monitoreados para sean dignos de
confianza, el riesgo de lo dems -es decir las cosas que se sabe que son de menos riesgo- se
vuelven de un riesgo an menor.
4. Forme un equipo con los socios comerciales para aumentar el sistema inmunolgico
de ellos y el suyo
En la ltima dcada ms o menos, las empresas se han vuelto altamente virtualizadas gracias
al outsourcing (con proveedores, contratistas y servicios de nube), fuerzas laborales
distribuidas (tambin una combinacin de personal y contratados), espacios de trabajo
distribuidos (oficinas y satlite y domsticas), espacios de trabajo tercerizados (comocall
centers), y personal digital nmada que trabaja en cualquier lugar.
No hay manera de construir una pared alrededor de este ecosistema moderno. Usted ve esta
futilidad en la prdida de efectividad de defensas tradicionales, como passwords, proteccin de
virus, deteccin de intrusos, y otros mtodos de deteccin basados en firma.
. Los chicos malos sofisticados van directamente a los servidores o a las redes y puentean las
protecciones porpassword de los dispositivos de los usuarios. Los recientes robos masivos de
datos de clientes
tener un framework comn de seguridad probablemente funcionar mejor que tener
mltiples frameworks. (Por supuesto, la implementacin necesitar variar en base al anlisis
principal de riesgo para cada entidad).
Compartir las mejores prcticas crea sinergia. Y una sociedad activa es de lejos un mejor
enfoque que solo usar amenazas contractuales.
Puede esperar ms demandas de sus clientes, reguladores, inversionistas y otros para
demostrar su destreza en seguridad, y quizs demandar testear independientemente esas
defensas.
El costo de la seguridad se est elevando. Aunque son una parte inevitable del quehacer
empresarial, los costos pueden ser administrados a niveles razonables si se enfoca en las
cosas que importan realmente.
. Ellos implementan a sabiendas este enfoque de lista de verificacin no solo porque funciona,
sino porque minimiza el riesgo de demandas o multas.
5. Haga de la seguridad un problema de negocio -no solo un problema de TI
La seguridad de la informacin no es solo un problema de TI o de tecnologa, es
fundamentalmente un problema de administracin que pocas organizaciones tratan como tal.
Es hora de pensar en este evolutivo modelo de seguridad de la informacin como uno de
seguridad integral, que usa mltiples tecnologas y tcnicas de administracin, de amplia
aceptacin y con capacidad de ser auditado, construido en capas y ajustado para los riesgos y
valor estimados.
La gobernanza eficaz significa permitir y animar a la gente a hacer las cosas correctas por el
camino de menor resistencia cuando sea posible. Monitoree el rendimiento, eduque y capacite
cuando sea necesario, y aplique tanto iniciativas y penalidades cuando ocurran
incumplimientos.
Haga algo de phishing interno para identificar empleados que necesitan ms entrenamiento, o
quizs imponga penalidades como la prdida de bonos o inclusive la prdida del puesto por
reincidencia o por fallas flagrantes.
Las tecnologas de monitoreo y de anlisis de patrones, como DLP (data loss
prevention), logging de base de datos, rastreo de eventos de seguridad y herramientas de
informacin forense, tambin pueden ayudar. No son tan tiles como un escudo preventivo en
tiempo real, pero pueden ofrecer el beneficio que realmente necesita: identificar robos de
datos, tomar huellas, y ganar el til entendimiento de cmo son movidos los datos, quin est
haciendo qu con esto y cundo est intentando abandonar sus sistemas.