La gestión de riesgos siempre ha sido un proceso importante para las empresas. En la era digital, este esfuerzo continuo adquiere aún más importancia. Hoy en día, las organizaciones no pueden gestionar eficazmente el riesgo sin evaluar periódicamente sus políticas de seguridad informática y sus correspondientes programas de aplicación. Las que no están dispuestas o no son capaces de examinar cómo gestionan sus políticas de seguridad no pueden identificar cuándo algo está funcionando. Peor aún, no pueden reconocer cuándo su programa está estancado o cuándo está ignorando oportunidades que reducen el riesgo.

He aquí cinco errores comunes que cometen las organizaciones cuando se trata de su programa de gestión de políticas de seguridad.

  1. Pensar en la red y no en las aplicaciones empresariales

Las organizaciones a veces no ven el bosque a través de los árboles. Crearán una política que justifique su configuración de red, como qué puertos o túneles VPN utilizar. Pero no pensarán, en primer lugar, por qué es necesario el acceso a la red y qué aplicación empresarial soporta la regla o política. También ocurre lo mismo a la inversa. Las empresas no suelen eliminar el acceso a la red de una aplicación fuera de servicio y revisar una de sus políticas porque temen que pueda afectar negativamente a la funcionalidad de un activo. Siendo realistas, deberían estar más preocupadas por cómo un atacante podría aprovechar el acceso abierto para atacar sus sistemas.

  1. Falta de comunicación eficaz entre los distintos equipos

Se necesita mucho trabajo en equipo para que una organización gestione sus políticas de seguridad. Están los que crean y aplican las políticas, los que se aseguran de que esas políticas garantizan una funcionalidad óptima del sistema y los que vinculan las políticas a las aplicaciones empresariales. Estos grupos de individuos no siempre interactúan entre sí. Pero sus trabajos son fundamentalmente colaborativos e interdependientes. Sin una comprensión de qué aplicaciones empresariales necesitan soporte, el personal no puede crear políticas de seguridad eficaces. Los equipos también deben estar familiarizados con esas políticas para entender cómo pueden afectar o no a la red de la organización.

  1. Permitir cambios no documentados sobre la marcha

Una parte esencial de la gestión de las políticas de seguridad es la documentación de cada política. Si las organizaciones no fomentan la documentación, corren el riesgo de que el personal cree políticas para las que no haya explicación cuando un auditor venga a llamar. También existe la posibilidad de que los empleados creen múltiples políticas que cubran el mismo riesgo de seguridad, lo que provocaría un desorden innecesario. La documentación es importante en la medida en que registra una política y estandariza su aplicación en todos los compañeros de equipo. En consecuencia, las organizaciones no sólo deben fomentar la documentación, sino también emparejarla con un proceso formal para la creación de nuevas políticas. Hacerlo así evitará que los empleados creen impulsivamente políticas de seguridad que podrían merecer deliberación y revisión.

  1. No tenga en cuenta los errores humanos

Todos somos humanos. Eso significa que a veces cometemos errores. Nimrod Reichenberg, responsable de estrategia global de AlgoSec, explica en un artículo  publicó en Dark Reading uno de esos escenarios con los que se encontró en el trabajo:

«Un administrador de una empresa con la que trabajamos tecleó accidentalmente el puerto 433 en lugar del 443 al realizar un cambio en las reglas del cortafuegos. Digamos que no fue un buen día para él».

Los errores en la introducción de datos hacen algo más que perder el tiempo. Crean una confusión que podría debilitar la seguridad de una empresa. Por lo tanto, las organizaciones deben tener en cuenta los errores humanos en su programa de gestión de políticas de seguridad. Una de las formas en que pueden hacerlo es utilizando una herramienta complementaria o un script capaz de detectar errores tipográficos y de otro tipo.

  1. No tener en cuenta el riesgo incorporado

Las políticas de seguridad mal diseñadas no benefician a una empresa. A veces añaden riesgo, violan los requisitos de cumplimiento o entran en conflicto con otras partes de la estrategia de TI de una organización. Dados los riesgos potenciales creados por las políticas de seguridad, las empresas deberían reflexionar más sobre cómo diseñan sus programas de gestión de políticas de seguridad. Concretamente, deberían averiguar qué riesgos podrían producirse si crean una nueva política de seguridad.

Para mitigar aún más el riesgo incorporado, las organizaciones deberían considerar la automatización. IT Business Edge es un firme defensor de esta decisión:

«La automatización agilizará sus procesos, le permitirá cambiar rápidamente los diseños, identificar reglas que puedan reutilizarse, implantar políticas sin problemas, realizar análisis de riesgos y auditorías rápidamente, crear documentación al instante y validar y conciliar, todo ello en tiempo real. Siempre habrá algunas tareas que requieran la intervención humana, pero tendrá un sistema más seguro si mantiene a las personas de su equipo centradas en los trabajos que necesitan análisis e investigación, en lugar de en tareas mundanas que pueden automatizarse.»

Conclusión

La gestión de la política de seguridad es una faceta importante de la gestión de riesgos. Pero no resulta natural para todas las empresas. Por eso  Metacompliance ha presentado una línea de productos de gestión de políticas que ayudan a las empresas a diseñar políticas de seguridad y a garantizar la concienciación del personal.

Para saber más sobre cómo las soluciones de Metacompliance pueden ayudar a su empresa, haga clic aquí.