A menudo he tenido la oportunidad de evaluar diferentes enfoques de la protección cibernética, en diferentes áreas. Muchas veces el enfoque era demasiado superficial, las políticas de seguridad insuficientes cuando no completamente ausentes, y esto exponía a la empresa a un riesgo de compromiso muy fuerte.
En mi opinión, sin embargo, casi tan malo para la seguridad global es la implementación de políticas "demasiado" estrictas.
Sé que esto parece una contradicción, tal vez provocativa, pero síganme en el razonamiento...
Es un hecho establecido que el eslabón débil en los sistemas de información es casi siempre "Dave: error humano" (¡No quiero que los muchos amigos llamados Dave!)
Si aplicamos políticas demasiado estrictas y demasiado poco fácil de usar, no muy "ergonómico", como sugiere el muy bueno @roarinpenguin, inevitablemente los usuarios, apretados entre el yunque de la seguridad y el martillo de la productividad, buscarán trucos para cumplir formalmente con las políticas, y al mismo tiempo seguir funcionando sin problemas.
Permítanme dar un ejemplo concreto: durante mucho tiempo estuvo estresado por la necesidad de tener contraseñas muy complejas, que incluía números y caracteres especiales en diferentes combinaciones.
Esto ha llevado a muchos, demasiados usuarios a escribir la contraseña en algún lugar para no olvidarla, frustrando así por completo el objetivo principal de la política.
Entonces la obligación de cambiar la contraseña con frecuencia. Los usuarios lo “cambiaron”, reseteando el anterior. Luego se bloqueó la reutilización. ¿Resultado? P @ ssword1, P @ ssword2, P @ ssword3…
Este es solo un ejemplo para decir que, para lograr una seguridad efectiva, se requiere la cooperación activa de usuarios y operadores. ciberseguridad.
Este resultado se consigue sobre todo con formación, fomentando en la estructura la conciencia de los riesgos que se corren (#ilbersagliosiamonoi), y de los comportamientos a adoptar para minimizarlos. Pero más allá de eso, ¿quién está a cargo de la politica de seguridad debe procurar en todos los sentidos la ergonomía de las soluciones, para hacer cumplir las reglas establecidas, no digo agradables (¡no exageremos!) pero al menos no muy invasivas.
Además, explicar por qué se introducen ciertas restricciones, compartir tanto como sea posible los análisis de riesgo que condujeron a su implementación, ayuda enormemente a lograr la adopción por parte de los usuarios.
Por último, es bueno recordar siempre que “Quien renuncia a la libertad por la seguridad no merece ni lo uno ni lo otro” (Benjamin Franklin).
