¿Has construido una casa de arena o de ladrillo? Mejora de Procesos de Seguridad

Durante 2015 la sociedad ha sido especialmente consciente de los ataques a los que puede verse sometida desde el punto de vista informático, campo que hasta hace bien poco estaba reducido a los expertos.
Ahora ya sabemos de la importancia de actualizaciones de por ejemplo nuestro sistema operativo o de las aplicaciones más utilizadas, de la necesidad de cambiar periódicamente contraseñas, de no compartir nuestros datos con extraños y muchos otros temas de igual interés.
Todos estos datos están empezando a crear una "cultura de la Seguridad" absolutamente necesaria para de verdad podernos proteger. En este entorno, el papel de fijar procesos estándar y conocidos por la organización, y si es posible, certificarlos, cobra especial importancia.

Empiezo el año invitandoos de nuevo a revisar vuestra casa a la vista del cuento de "Los Tres Cerditos". Una vez más, ¿como has construido tu casa" ¡Feliz 2016!

Comprobado: La Seguridad es Agotadora

Los CISOs, Directores de Riesgos, CIOs, etc., están sometidos a diario a multitud de tensiones. Una de las nuevas causas de estress es la creciente ola de incidentes a las que tienen que hacer frente, y que parece que por más herramientas, marcos de referencia, y regulaciones que puedan existir siempre va a haber una oportunidad para el atacante. Esto es cierto y es así.
Sin embargo, en las actividades de Seguridad abordadas durante este último año, me he dado cuenta de que hay una causa inicial para este desgaste y es el desconocimiento del comportamiento de la organización en el uso de sus recursos tecnológicos.
Las razones más comunes para este desconocimiento que he podido identificar son:

1. Las herramientas de Seguridad que utilizan las organizaciones son en general complejas, y requieren personal especializado capaz de interpretar los mensajes que generan.
2. La información que proporcionan está muy fragmentada, con lo que es dificil identificar datos valiosos como las horas de más tráfico de la organización, los puntos de entrada y salida de información y los principales países con los que interactuamos.
3. Una auténtica avalancha de datos procedentes de todas las fuentes, incluso las especializadas, orientadas a proteger las organizaciones.
4. Una dificultad añadida de trasladar estos datos a acciones prácticas que permitan eliminar tráfico que no sea de interés para la organización.
5. Dificultades organizativas a la hora de actuar frente a un incidente.

 Todas estas razones hacen que los responsables de Seguridad estén permanentemente en el ojo del huracán, teniendo que demostrar el riesgo de sus organizaciones a sus Direcciones Generales, y aunque se está creando mucha más sensibilidad respecto a este punto, nos queda todavía mucho que recorrer...