La gestión de riesgos siempre ha sido un proceso importante para las empresas. En la era digital, este esfuerzo continuo adquiere aún más importancia. Hoy en día, las organizaciones no pueden gestionar eficazmente los riesgos sin evaluar periódicamente sus políticas de seguridad informática y sus correspondientes programas de aplicación. Las que no están dispuestas o no son capaces de examinar cómo gestionan sus políticas de seguridad no pueden identificar cuándo algo está funcionando. Y lo que es peor, no pueden reconocer cuando su programa está estancado o cuando está ignorando oportunidades que reducen el riesgo.
He aquí cinco errores comunes que cometen las organizaciones cuando se trata de su programa de gestión de políticas de seguridad.
-
Pensar en la red y no en las aplicaciones empresariales
Las organizaciones a veces no ven el bosque a través de los árboles. Crean una política que justifica la configuración de la red, como los puertos o los túneles VPN que deben utilizarse. Pero no piensan en la razón por la que se necesita el acceso a la red en primer lugar y en la aplicación empresarial a la que da soporte la regla o política. También ocurre lo mismo a la inversa. Las empresas no suelen eliminar el acceso a la red de una aplicación retirada del servicio y revisar una de sus políticas porque temen que pueda afectar negativamente a la funcionalidad de un activo. Siendo realistas, deberían estar más preocupadas por cómo un atacante podría aprovechar el acceso abierto para atacar sus sistemas.
- Falta de comunicación eficaz entre los distintos equipos
La gestión de las políticas de seguridad de una organización requiere mucho trabajo en equipo. Están los que crean y aplican las políticas, los que se aseguran de que esas políticas garanticen una funcionalidad óptima del sistema y los que vinculan las políticas a las aplicaciones empresariales. Estos grupos de individuos no siempre interactúan entre sí. Pero sus trabajos son fundamentalmente colaborativos e interdependientes. Sin comprender qué aplicaciones empresariales necesitan apoyo, el personal no puede crear políticas de seguridad eficaces. Los equipos también deben estar familiarizados con esas políticas para entender cómo pueden afectar o no a la red de la organización.
- Permitir cambios no documentados sobre la marcha
Una parte esencial de la gestión de las políticas de seguridad es la documentación de cada política. Si las organizaciones no fomentan la documentación, corren el riesgo de que el personal cree políticas para las que no hay explicación cuando un auditor venga a llamar. También existe la posibilidad de que los empleados creen varias políticas que cubran el mismo riesgo de seguridad, lo que provocaría un desorden innecesario. La documentación es importante porque registra una política y estandariza su aplicación en todos los compañeros de equipo. Por lo tanto, las organizaciones no sólo deben fomentar la documentación, sino también acompañarla de un proceso formal de creación de nuevas políticas. Esto evitará que los empleados creen impulsivamente políticas de seguridad que podrían merecer ser deliberadas y revisadas.
- No tenga en cuenta los errores humanos
Todos somos humanos. Eso significa que a veces cometemos errores. Nimrod Reichenberg, jefe de estrategia global de AlgoSec, explica en un artículo publicado en Dark Reading una de esas situaciones que encontró en su trabajo:
"Un administrador de una empresa con la que trabajamos tecleó accidentalmente el puerto 433 en lugar del 443 al hacer un cambio de regla de firewall. Digamos que no fue un buen día para él".
Los errores de entrada no sólo hacen perder tiempo. Crean una confusión que podría debilitar la seguridad de una empresa. Por lo tanto, las organizaciones deben tener en cuenta los errores humanos en su programa de gestión de políticas de seguridad. Una de las formas de hacerlo es utilizando una herramienta adicional o una secuencia de comandos capaz de detectar errores tipográficos y de otro tipo.
- No tener en cuenta el riesgo incorporado
Las políticas de seguridad mal diseñadas no benefician a la empresa. A veces añaden riesgo, violan los requisitos de cumplimiento o entran en conflicto con otras partes de la estrategia de TI de una organización. Dados los riesgos potenciales creados por las políticas de seguridad, las empresas deberían pensar más en cómo diseñar sus programas de gestión de políticas de seguridad. En concreto, deben averiguar qué riesgos pueden producirse si crean una nueva política de seguridad.
Para mitigar aún más el riesgo incorporado, las organizaciones deberían considerar la automatización. IT Business Edge es un firme defensor de esta decisión:
"La automatización agilizará sus procesos, le permitirá cambiar rápidamente los diseños, identificar las reglas que se pueden reutilizar, impulsar sin problemas las políticas, llevar a cabo análisis de riesgos y auditorías con rapidez, crear instantáneamente la documentación y validar y conciliar, todo ello en tiempo real. Siempre habrá algunas tareas que requieran la intervención humana, pero tendrá un sistema más seguro si mantiene a las personas de su equipo centradas en los trabajos que necesitan análisis e investigación, en lugar de las tareas mundanas que pueden automatizarse."
Conclusión:
La gestión de la política de seguridad es una faceta importante de la gestión de riesgos. Pero no es algo natural para todas las empresas. Por eso Metacompliance ha creado una línea de productos de gestión de políticas que ayudan a las empresas a diseñar políticas de seguridad y a garantizar la concienciación del personal.
Para saber más sobre cómo las soluciones de Metacompliance pueden ayudar a su empresa, haga clic aquí.
