Las 3 políticas de seguridad más ignoradas

Publicado el 12 diciembre 2013 por Csoliss @csoliss

Si aún no estas suscrito al Newsletter hazlo aquí y obtén contenidos de Seguridad de la Información cómodamente en tu correo electrónico.

Top 3 de las políticas de seguridad más ignoradas por los usuarios y sus soluciones. Ya sea por desconocimiento o desidia, los usuarios lo hacen.

Usuarios, esos dulces individuos que hace la vida de los CSO/CISO’s tan compleja y atareada.

Las áreas de seguridad (que funcionan como deberían) basan su gestión en el cumplimiento de un conjunto de políticas en pro de preservar la Confidencialidad, Integridad y Disponibilidad de la información en una organización. Desgraciadamente, una política de seguridad es tan efectiva como los individuos que la cumplen.

Una de las cosas más comunes del personal en una organización es ignorar las diferentes políticas de seguridad de esta, ya sea por desconocimiento o desidia de estas reglas.

Estas faltas pueden acarrear grandes amenazas de seguridad, causar incumplimientos legales y evita que la organización use de manera eficiente los recursos tecnológicos. Para evitar estos riesgos los responsables del área de seguridad deben centrarse en educar a los usuarios sobre las políticas de seguridad, así como impulsar el cumplimiento de estas y el seguimiento de los controles de seguridad.

Estas son las políticas de seguridad que a los usuarios les cuesta seguir más, al menos de momento:

1. Normas contra el intercambio de archivos en línea

La computación en la nube puede traer grandes beneficios a las organizaciones. Cuando una organización elige el servicio de nube ideal, puede dar a esta acceso a las herramientas de TI a un menor costo y mejorar la agilidad y escalabilidad.

Pero por cada servicio de computación en la nube orientado a las organizaciones, hay varios enfocados al usuario final. Algunos baratos, otros gratuitos, pero al final, no tiene los niveles de seguridad necesarios para proteger los datos sensible de una organización. Y mucha gente está utilizando estos servicios para el trabajo.

El servicio más utilizado en la nube para compartir archivos es Dropbox. Este servicio ha sido golpeado en varias ocasiones por violaciones de datos que podrían haber expuesto información subida por los usuarios.

Adicional a los riesgos de violaciones de datos, los servicios orientados al usuario, no permite a las organizaciones controlar los datos que los empleados suben a estas aplicaciones. Esto no nos da garantía que el empleado al dejar la organización haya borrado todos los datos relacionados a la misma.

La solución: Aun y cuando la gente de seguridad bloquee los accesos a estos servicios, los usuarios pueden encontrar maneras de utilizarlos a través de dispositivos móviles personales o redes WiFi no controladas. Si los empleados están usando esos servicios por razones de trabajo, es decir, de compartir documentos y colaborar con los compañeros de trabajo. Entonces, debemos pararnos y pensar “si hay fuerte demanda de estos servicios, es mejor adquirir una solución corporativa de los mismos.”

2. Políticas de redes sociales

Hoy en día, una gran cantidad de empresas tienen algún tipo de política sobre las redes sociales, si el objetivo es prohibir el acceso a los empleados el acceso a Facebook, Twitter y otros sitios en el trabajo; o simplemente para limitar lo que dicen en las redes sociales.

El problema radica que si las políticas son demasiada estrictas, muchos empleados, simplemente no las cumplirán. Incluso si se les tiene bloqueado el acceso a las redes sociales desde la red organizacional, los empleados simplemente van a visitarlas a través de un Smartphone o tablet personal mientras están en el trabajo.

La solución: si las redes sociales son usadas de forma incorrecta en el trabajo y esto puede causar una amenaza para la seguridad de la información, pérdida de productividad o problemas legales con el empleado por divulgar información corporativa en línea. Entonces, debemos tener una política de redes sociales muy clara y capacitar a los usuarios sobre reconocer los ataques de phishing y otras amenazas de seguridad. Sin embargo, es muy importante reconocer que el bloqueo a todos los accesos sin una necesidad real puede causar problemas adicionales en nuestras organizaciones

3. Políticas de contraseña

Ya de por sí, lo usuarios tiene problemas con el cumplimiento de las políticas de seguridad de la información, pero con la que se tiene más problemas son con las reglas que se requieren parar tener una contraseña fuerte y segura.

Muchos estudios y divulgaciones de contraseñas de sitios han demostrado que la gran mayoría de los usuarios usan contraseñas como “password” y “123456″ para proteger los accesos a los sistemas corporativos. Incluso, cuando se disponen de controles para hacer cumplir cierto nivel de complejidad, los usuarios suelen gravitar hacia contraseñas simples que la regla permite, por ejemplo Pa$$word1.

La solución: en muchos casos, los usuarios no saben lo que es la política de contraseñas o porqué existe, por ejemplo no están al tanto de los hacker puede realizar un ataque de diccionario y que si tienen una contraseña simple puede acceder a sus cuentas fácilmente. Educarlos sobre las razones de la reglas de las contraseñas y ofrecerles ayuda para la creación de contraseñas seguras, podría ser más útil para los empleados. Además, recomiendo que en los casos que se necesiten mayor seguridad, las organizaciones deben emplear la autenticación de dos factores.

Muchos de los problemas de cumplimiento de las políticas de seguridad de las organizaciones, es que los empleados no saben el porqué de las cosas, la clave de esto es la educación y concientización de los usuarios.

Te invitó a visitar las secciones de Seguridad de la Información y Seguridad Informática.

¿Qué políticas no se cumplen en tu organización? ¿Qué otras soluciones se te ocurren? Déjalo en los comentarios…