La seguridad no solamente se trata de tecnologías. Uno de los elementos fundamentales del rompecabezas que las organizaciones tienden a omitir es simplemente el personal.
Los empleados tienen una gran influencia en la seguridad de su organización. En verdad son los empleados quienes por error mandan sus correos electrónicos al destinatario equivocado o con el archivo anexo errado, causando potencialmente pérdida de datos o fuga de información confidencial en su organización. Los empleados también incidentalmente descargan contenido ilícito, navegan por páginas de Internet de delincuentes o ingresan accidentalmente en vínculos maliciosos que resultan en infecciones de malware potenciales en la red corporativa. Pero ¿Qué tal si cambiamos esta dinámica y revertimos la perspectiva? ¿Qué tal si en lugar de considerar a los empleados como parte del problema los hacemos parte de la solución?
1. Educar a los usuarios
En realidad la mayoría de las organizaciones no prestan atención en involucrar a los usuarios en el proceso de seguridad. La concientización sobre la seguridad entre los empleados continúa relativamente baja. Los usuarios ven muchas restricciones de lo que pueden y no pueden hacer en la red corporativa pero nunca son realmente incluidos dentro del sistema ni alertados o informados apropiadamente, cuando son los que toman las decisiones que causan los incidentes de seguridad. Y todavía con apenas un poco de educación y responsabilidad los empleados pueden jugar un gran papel en minimizar las fugas de seguridad y prevenir que los ataques penetren la red en primer lugar. De hecho los empleados deberían ser los primeros en la fila cuando se trata de cuidar los datos confidenciales y la red de la compañía.
Existen muchas formas como las organizaciones pueden educar a sus empleados sobre la seguridad TI. Para comenzar las firmas pueden brindar a sus usuarios de red entrenamiento básico sobre las políticas, manuales escritos o servicios de capacitación basados en la web para familiarizarlos con las políticas de seguridad y las responsabilidades que deben seguir. Por ejemplo las compañías pueden exigirles a sus empleados que presenten un examen antes de que se les permita el acceso a la intranet para garantizar que todos estén siguiendo el mismo conjunto de estándares de seguridad dentro de la organización.
Como primer paso antes de esto es primordial que las compañías formulen políticas de seguridad claras que se transmitan en términos de negocio explícitos en lugar de un lenguaje técnico, así todos los empleados lo pueden comprender fácilmente. Tales políticas deben ser adecuadas al mundo de negocios real y que tomen en cuenta las necesidades específicas de los usuarios. Es importante que estén bien alineadas con las prioridades de negocio de la firma y que puedan evolucionar con las necesidades de seguridad en evolución.
2. Involucrando a los usuarios
Otra forma de aumentar la consciencia sobre la seguridad en los usuarios es involucrarlos en el proceso de decisión de la seguridad. Las tecnologías pueden ayudar a detectar las fugas o bloquear a los usuarios, pero se pueden usar para ayudar a educar a la gente sobre cómo laborar con los sistemas y darles autonomía para prevenir y remediar incidentes de seguridad. Esta es la idea detrás de la tecnología Check Point UserCheck™ la cual es parte de la prevención de las soluciones de pérdida de datos de Check Point y de control de aplicaciones. Esta tecnología involucra a los usuarios en el proceso de remediación de pérdida de datos. Por ejemplo cuando se envía un correo electrónico sospechoso o cuando se abre una página web no autorizada una ventana pop-up alerta al usuario, lo informa del riesgo potencial y de la política de la compañía en este respecto y les brinda la oportunidad de corregir y remediar el incidente antes de que pueda ocurrir una fuga. De esta forma la gente es educada sobre la política corporativa y en lugar de mostrar simplemente una página de bloqueo se les da una explicación de por qué no deben hacer algo y cómo remediarlo. La solución funciona transparente y sencillamente para no inhibir la labor diaria de los empleados ni obstruir el flujo del negocio.
Empujar la decisión de seguridad al usuario hace el proceso de seguridad más fácil, inteligente y más efectivo. Esto aliviana drásticamente la carga de sus administradores de seguridad y en algunos casos ha disminuido la cantidad de incidentes de seguridad que necesitan evaluarse hasta en 98%.
3. Reconociendo cada usuario individual
Las soluciones de seguridad TI del siglo XXI deben servir como un habilitador de negocio más que nunca. Educar, involucrar y reconocer al usuario en el proceso de negocio permite no solamente resaltar más la eficiencia de la tecnología, sino también consolidar el proceso de seguridad general, haciéndolo una parte integral del proceso de negocio. Los empleados deben tener autonomía para hacer su trabajo mientras que están involucrados en la protección de la empresa; las políticas de seguridad deben definirse claramente y alinearse con sus necesidades individuales para reflejar mejor los requisitos y estrategias de negocio de la organización; y las tecnologías deben servir para reforzar efectivamente el proceso de seguridad.
Los empleados y los usuarios son precisamente la piedra angular de la visión de Seguridad 3D de Check Point una visión que combina tres dimensiones primordiales de seguridad – políticas, gente y refuerzo de normas – para una mejor alineación de las necesidades de seguridad con las de la compañía y los usuarios.
Check Point está desarrollando cada vez mayor contenido dirigido a educar a los empleados y ayudarles a desarrollar y reforzar las mejores prácticas de seguridad. Otro ejemplo es nuestro software blade de verificación de identidad que le permite a las organizaciones administrar políticas de seguridad por usuarios y grupos. Provee a las organizaciones una visibilidad granular sobre usuarios, grupos y máquinas específicos y no sólo se basa en direcciones IP. Cuando se agrega un gateway corporativo actual la solución brinda a los equipos de TI la posibilidad de definir políticas específicas por usuario o por grupo de usuarios. Pueden ajustar el uso de aplicación de red de acuerdo con necesidades individuales del usuario y con requisitos de negocio de usuarios o grupos específicos. De esta manera el proceso de seguridad se puede alinear completamente con las necesidades de negocio reales de la organización y con los requisitos de cada usuario individual.