10 peores errores que comete la alta dirección en seguridad de la información

En el marco de la segunda edición del bSecure Conference, ante más de 120 asistentes, Jesús Torrecillas, consultor de Seguridad de Cemex, dijo en su ponencia: “Si no entendemos que nuestra labor es la de invertir en seguridad y no ser ‘compradores’ entonces mejor dediquémonos a vender churros”.
Asimismo, advirtió que el oficial de seguridad es visto como un pistolero venido a más debido a que no sabe vender el modelo de seguridad a la alta dirección, la cual sólo entiende de retornos de inversión y de tranquilidad en el negocio.
Como resultado de más de 15 años de experiencia en seguridad empresarial, Torrecillas ha identificado los 10 errores más frecuentes que cometen los directivos en este terreno.

Primer error: Asignar a gente sin experiencia el mantenimiento de la seguridad informática y no dar formación para aprender en qué consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.
“Hay que…

preocuparse por demostrar que somos directores de seguridad. Aunque el hábito no hace al monje, sí lo condiciona”, dijo Torrecillas.
La “todología” inspiradora no sirve, continuó Torrecillas. Es como poner todos los huevos en la misma canasta. El expositor se mostró en contra de los UTM (Unified Threat Management) appliances. Lo ideal es tener dos antivirus, uno en la PC y otro en el servidor, afirmó.

Segundo error: Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio.
Informática es un área del negocio, no lo es todo.
¿Sabe Seguridad en qué consiste la operación del negocio? Informática debe ser entendida como área de apoyo a la operación. “Seguridad es un monstruo bicéfalo, pues debe ser el gestor del área física y de la seguridad de información”, apuntó Torrecillas. En cuanto al monto, la seguridad necesaria depende del tamaño de la empresa. Seguridad debe conocer los entresijos de la operación.

Tercer error: Falta de conocimiento y de compresión sobre los aspectos de la operación de Seguridad de la Información.
Tenemos que tener fluidez para decirle a la alta dirección a qué demonios nos dedicamos, cómo es nuestra operación. ¿Gasto o inversión? Este es el talón de Aquiles de la empresa, aseguró el directivo de Cemex. “Si la dirección no sabe en qué consiste la operación de la seguridad es un desastre. Hay que saber cómo administrar el riesgo de la fuga de información.”

Cuarto error: Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.
“A este error yo le llamo el fenómeno del año Uno. Pasa el primer año y todo funciona bien, pero si luego ya no tengo dinero para seguir actualizando el firewall o el UTM entonces esos aparatos se convierten en un florero que no sirve para nada. ¿Están seguros de que los cacharros funcionan bien?”
Los firewalls son floreros de lujo porque nadie los pone a prueba y no hay programas de actualización y mantenimiento, porque no se planean o se gasta el dinero al final del año en otra cosa. También se dice que “si funciona ni lo toques”, y entonces ahí se quedan los aparatos.

Quinto error: Que el departamento de Seguridad de la Información dependa del departamento de Informática.
El departamento de Informática debe contar con herramientas para auto-auditarse para que cuando le toque la auditoría externa resulte más o menos bien.
“Son jueces y partes por el mismo precio, esa es la razón del phishing en los bancos. Es un ahorro mal entendido. La independencia es clave para el buen hacer. Cuando se encuentran en el mismo departamento, se maquillan los hallazgos para la alta dirección, es un fraude interno el maquillar los logs. Deben trabajar los dos departamentos juntos pero no en cohesión, no revueltos”, advirtió Torrecillas.

Sexto error: Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática.
“¿Toda tu operación informática en manos extrañas? El outsourcing es un riesgo porque ponemos la seguridad en manos de gente mal pagada, que no conocemos. Los mal pagados venden la información estratégica.
”El ponente recomendó buscar el concepto Mobbing, del español Iñaqui Piñuel (www.yahoo.es/), que es la respuesta del empleado a un acosador laboral.

Séptimo error: No darse cuenta del valor de la posesión de la información y la reputación de la compañía.

Octavo error: Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.
“¿Sabes cuántos intentos de penetración se están produciendo en tus redes? ¿Conoces tu historia? ¿Sabes a qué se parece tu red de datos? ¿Tienes un plan de contingencia frente a eventos? ¿Asegurarías que “todo” está bien en tu red? Estas solas preguntas que tienes que plantearte.”

Noveno error: Pretender que los problemas no aparecerán si son ignorados.
“Eso le pasa a los más “fregados” yo soy inmune. Provengo de una familia de alto nivel, “eso” no nos pasa.”

Décimo error: Ocultamiento de problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad).

Para concluir, Torrecillas afirmó: “La seguridad informática no es patrimonio de unos o de otros, la integridad de la información impacta en los resultados de la operación”.

Fuente: http://seguridad-informacion.blogspot.com/2008/08/los-10-peores-errores-…

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: