¿El eslabón más débil de la seguridad siempre es el usuario?

¿El eslabón más débil de la seguridad siempre es el usuario?

Hemos escuchado que el eslabón más débil de la seguridad es el usuario y aunque muchas veces es cierto, algunas otras se presenta otro eslabón similar. Pensando en la seguridad como una cadena, como si ésta fuera de Acero, el usuario puede ser un eslabón de plástico, pero hay otro eslabón que puede llegar a ser de papel.

Algunos aspectos importantes de la seguridad informática son los controles, los procesos, las personas y la infraestructura, entre otros; para estos generalmente las organizaciones se preocupan por adquirir soluciones que cumplan con algunos requerimientos internos de cumplimiento de regulación o aseguramiento de la información, así mismo se establecen controles y procedimientos que apoyen está gestión, realizando análisis de riesgos, que permiten identificar los incidentes que sean probables o se hayan presentado en la organización, con el fin de mitigar al máximo posible su impacto, por último se capacitan las personas y se concientizan para que tengan buenas prácticas en sus labores diaria que puedan reflejar protección de la información sensible de la organización. Hasta acá todo está muy bien y refleja el interés por cumplir la normatividad y proteger sus datos sensibles.

El eslabón más débil que se pretende reflejar en este artículo es la gestión de las plataformas de seguridad. Es muy sencillo encontrar organizaciones que han realizado grandes inversiones para adquirir una o muchas soluciones de seguridad, pero han fallado en su administración, por ejemplo, se pueden encontrar soluciones con estas características:

 

  • > Herramienta DLP, implementada sin una buena clasificación de la información o manejo apropiado de ésta y sin controles adecuados a nivel de red, host y Cloud.
  • > Protección WEB, basándose en control de categorías sin protección por reputación web o con listas blancas de sitios que el usuario necesita, adicional para los usuarios móviles no existe protección, dado que la solución es en la red corporativa únicamente.
  • > Protección de Correo, controles de antispam idóneos, pero no se protege contra archivos maliciosos y otros correos de alto riesgo como los correos de marketing o producto de afiliación a servicios con las cuentas corporativas, como Groupon, Facebook, entre otros, que abren la puerta a otro tipo de ataques.
  • > IPS de red, herramientas costosas idóneas implementadas en modo escucha (IDS) sin ofrecer protección.
  • > Protección de Datos (estructurados y no estructurados), implementados en modo monitoreo, con capacidades de protección no habilitadas.
  • > Firewall de host deshabilitados.
  • > Equipos sin parches de seguridad.
  • > Firewall de red con malas configuraciones y/o reglas que no coinciden con el tráfico que analizan.

 

La anterioUsuario eslabonr lista continúa, es mucho más extensa y contempla todos los vectores de ataques informáticos posibles, web, correo, BYOD, USB, Vulnerabilidades, entre otros.

Esto se presenta generalmente por falta de control de las configuraciones que tienen las herramientas o soluciones de seguridad, principalmente por falta de gestión y ausencia de un plan de mejoramiento continuo. Los administradores de estas soluciones se encargan de las tareas diarias, es decir, los requerimientos que día a día se generan y deben ser aplicados, un nuevo servicio de la organización, nuevos permisos, nueva infraestructura, cambios o actualizaciones, creación o retiro de usuarios, entre otros. Pero generalmente no existe actualización continua de estas soluciones, aplicar nuevas funcionalidades o mejorar las configuraciones que presentan, las cuales pudieron ser las básicas creadas desde su implementación.

Entonces, ¿Qué debemos hacer?, si se ha encontrado una falla en la seguridad de la información, es importante identificar el riesgo y tomar medidas o asumirlo, las organizaciones invierten muchos miles e incluso algunos millones de dólares en soluciones de seguridad, su mantenimiento y su soporte, pero pocos agregan un poco más de dinero para invertir en el aprovechamiento de estas soluciones o su mejoramiento continuo, lo cual permite aprovechar la herramienta al 100% y no solo con las funcionalidades básicas con las que se encuentra o se ha ido quedando. Por lo anterior se requiere personal dedicado o un aliado estratégico que apoye a la organización en la gestión de la plataforma, pero no para el día a día, sino para mejorar lo que se tiene actualmente y adicionar nuevas características y funcionalidades o nuevos requerimientos de la entidad sin reducir la protección existente.