SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

11 ago 2009

Segu-Info » , , , » Políticas de Seguridad Informática: ¿porqué no siempre funcionan?

Políticas de Seguridad Informática: ¿porqué no siempre funcionan?

11 ago 2009, 6:56:00 p.m.   Comenta primero!
  , , ,  

Un cliente me pidió que fuera a una reunión. Le contesté que seguro que iría, y le pregunté de que se trataba. Me dijo que quería revisar sus Políticas de Seguridad Informática. Eso es bueno; ambos sabíamos que habían algunos problemas con eso. La CEO también sabía que obtener la aceptación de todos era crítico y suponía que iba a ser una batalla cuesta arriba.

Los resultados

Sorprendentemente la reunión resultó muy buena. La CEO explicó la situación y todos se pusieron a trabajar. En poco tiempo, el grupo se puso de acuerdo en que la mayoría de los problemas con la Política de Seguridad se debían a tres razones.

1: La política era vaga

La mayoría de las Políticas de Seguridad Informática que he leído no son muy claras, y por lo tanto absolutamente inútiles para los empleados. Por ejemplo, la Política de Seguridad Informática de la compañía establece que las aplicaciones de redes sociales no son permitidas.

Durante la reunión, le pregunté a algunos empleados sobre su uso de la mensajería instantánea (MI). Dejando de lado la sensación de que no estaban abusando de las pautas de la compañía, todos mencionaron como la MI hacía más fácil su trabajo. Nadie vio ningún problema.

Eso confirmó la vaguedad del plan de seguridad. Con el deseo de eliminar cualquier ambigüedad, el grupo llegó a estos cambios:

  • Si ciertos programas o servicios están prohibidos, mencionar específicamente cuales de ellos en la política de seguridad y comunicarlo a todos los empleados.
  • Volver a visitar la política de seguridad periódicamente. Si se da el caso, cambiar la política para satisfacer las necesidades actuales del negocio.
  • Impedir técnicamente que las aplicaciones prohibidas puedan funcionar en lugar de confiar en la educación del usuario.

2: Seguridad versus productividad

Seguridad y productividad son polos opuestos. Lo mejor que cualquiera puede esperar es un acuerdo intermedio. Durante la reunión fue muy evidente que esto era tierra de nadie.

El personal de TI estaba haciendo su trabajo como ellos lo entendían. Algunas prácticas de seguridad estaban agregando una recarga significativa al proceso productivo, pero a sus ojos esto era aceptable. El jefe de planta estaba en desacuerdo. Aumentar la producción y reducir los costos era primordial para ser exitoso.

¿Quién estaba en lo cierto? Debo decir que ninguno. A pesar de todo, una guerra territorial era malo para todos. Bajo la vigilante mirada del CEO, ambas partes trabajaron juntas para crear una estrategia que pudiera mejorar la seguridad, aumentar la producción, y reducir la recarga de costos. Ahora es un terreno intermedio acordado.

3: La política se aplica a todos

Encontré interesante la discusión sobre si la política de seguridad aplica a todos o no. Algunos empleados realmente sentían que la política de seguridad no se aplicaba a ellos. La CEO rápidamente puso en claro el tema, se aplica. La CEO señalo sabiamente que si hubiera algún problema, se revise la política y se vea si necesita cambios.

Conclusiones

Mi cliente pasó por un doloroso pero beneficiosos proceso de aprendizaje. Pienso que compartir lo que ellos aprendieron puede ayudar a hacerlo más fácil para otros.

Traducción: Raul Batista - Segu-info
Autor: Michael Kassner
Fuente: TechRepublic



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!