30 diciembre 2008

Concienciación en seguridad, la asignatura pendiente

En varias ocasiones ha salido el término DLP en este blog. Este post trata sobre el problema de fondo sin entrar en soluciones técnicas.

Los niveles de complejidad para administrar la seguridad de las organizaciones están en constante crecimiento. Las personas que integran una organización, están expuestas a enormes cantidades de información fuera de su campo de conocimiento, pero que son claves para proteger la seguridad de su entorno.

Las noticias de pérdidas de datos siguen un patrón de crecimiento.
Lost, missing, unencrypted [poner aquí cualquier dispositivo móvil con datos confidenciales], y, accidentally inadvertantly, improperly [hechos públicos de alguna manera], son las principales causas de los mayores incidentes de seguridad relacionados con perdidas de datos en las organizaciones. En ellas, podemos observar un patrón de falta de concienciación en la seguridad, y más, bajo el manejo de datos confidenciales.

Las fugas de datos en una organización pueden tomar miles de formas distintas. Pero todas se pueden encuadrar en los dos tipos principales:
  • Por descuido
  • Intencionadas
Ambos tipos, especialmente las de "por descuido" están ocurriendo más comunmente de lo que pensamos, en parte, porque se llevan a cabo fácilmente sin necesidad de complejos ataques técnicos y en parte, porque la gran mayoría de los empleados no conocen la política de seguridad del lugar en el que trabajan.




Sumando a lo anterior, los empleados tienen una gran ventaja sobre externos que quieran dañar a la compañía. Pueden pasar a través de medidas de seguridad físicas y técnicas diseñadas para prevenir accesos no autorizados. Los sistemas firewall, IDS, y antivirus están implementados con la función principal de defender contra ataques externos. Y sí a todo ello le añadimos la falta de concienciación en las políticas de seguridad, y procedimientos, nos podemos encontrar con verdaderas amenazas internas.

Pongamos un ejemplo, actualmente es común que los empleados accedan a la red de su oficina desde cualquier ubicación remota, y también es cada vez más común el uso de dispositivos móviles smartphones, y pdas, de los cuales ya tratamos el tema del malware.
Sin embargo, ¿estamos respondiendo adecuadamente a estas nuevas amenazas potenciales educando a nuestros usuarios?

La información es uno de los activos más valiosos, nos podemos gastar cientos de miles de euros en proteger los sistemas que la almacenan, ¿pero cuanto invertimos en la concienciación de nuestros usuarios?
Las estadísticas y noticias diarias sobre pérdidas de datos, nos están mostrando sólo la punta de un iceberg.

Aquí dejo un interesante recurso sobre Investigación en amenazas internas

Emilio Casbas
S21sec labs

Stumble
Delicious
Technorati
Twitter
Facebook
Meneame
Linkedin
Publicado por S21sec labs en 12:00
Etiquetas: , ,
Suscribirse a: Enviar comentarios (Atom)
 

© Copyright S21sec 2010 - Todos los derechos reservados