Decálogo de seguridad corporativa

Con el primordial objetivo de contribuir con la educación e información de las empresas para alcanzar una mejor política de seguridad de la información, los especialistas de ESET Latinoamérica han elaborado los 10 mandamientos de la seguridad corporativa, entendidos como los principios básicos que deben regir la protección de la información en las empresas:

1. Definirás una política de seguridad: Es el documento que rige toda la seguridad de la información en la compañía. Se recomienda que no sea muy extensa (ningún empleado podrá comprometerse con un documento excesivamente extenso), que sea realista (pedirle a los empleados cosas posibles para mantener la credibilidad) y que se les de valor. Es preferible, además, que las mismas sean entregadas a los empleados por los altos cargos o por el departamento de Recursos Humanos, en lugar del soporte técnico de IT, para que le asignen mayor importancia.
2. Utilizarás tecnologías de seguridad: Son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam estará demasiado expuesta como para cubrir la protección con otros controles.
3. Educarás a tus usuarios: Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ESET, el 45% de los ataques informáticos detectados en la región utiliza técnicas de Ingeniería Social - es decir, que atentan contra el desconocimiento del usuario para infectarlo. Por ello, es fundamental que toda la empresa forme parte de los procesos de educación y capacitación.
4. Controlarás el acceso físico a la información: La seguridad de la información no es un problema que deba abarcar sólo la información virtual, sino también los soportes físicos donde ésta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a éstos? Sin lugar a dudas, el acceso físico es fundamental. También deben ser considerados en este aspecto los datos impresos, el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.) o el acceso a las impresoras.
5. Actualizarás tu software: Las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica (elaborado por ESET) el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.
6. No utilizarás a IT como tu equipo de Seguridad Informática: Es uno de los errores más frecuentes, por lo que es importante recordar que la seguridad no es un problema meramente tecnológico. Debe existir un área cuyo único objetivo sea la seguridad de la información para que ésta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.
7. No usarás usuarios administrativos: De esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo.
8. No invertirás dinero en seguridad sin un plan adecuado: La seguridad debe ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad sin medir el valor de la información que se está protegiendo y la probabilidad de pérdidas por incidentes puede derivar en dinero mal invertido o, básicamente, en dinero perdido.
9. No terminarás un proyecto en seguridad: La seguridad debe ser concebida como un proceso continuo, no como un proyecto con inicio y fin. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información es una necesidad permanente del negocio que debe encontrarse en mejora continua.
10. No subestimarás a la seguridad de la información: Entender el valor que asigna al negocio tener la información protegida es clave. Muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.

Triniti usando nmap en Matrix I ;)

Entre los que me resultan más interesantes son: "Educaras a tus usuarios" (3), dado que un usuario no educado usualmente es el eslabón más débil en la cadena de protección de información, y "No utilizarás a tu departamento de IT como equipo de Seguridad Informática"(6), un consejo muy adecuado, ya que tenemos que ser conscientes de que un buen DBA, programador, desarrollador o arquitecto de software, etc, puede ser excelente en su puesto de trabajo y tener muy buenas nociones sobre la seguridad en general, pero no necesariamente será un experto en seguridad informática (al menos no para hacer una auditoría de seguridad), aunque mucha gente lo crea así.

¿Y ustedes que piensan de este decálogo? ¿Se cumplen estas reglas en la empresa en la que trabajas?

Qué Motiva a un Equipo de IT?

Hace poco tuve la oportunidad de ver la conferencia de TED de Dan Pink en la cual nos explica lo que mejor funciona para motivanos a realizar una u otra tarea en nuestro trabajo y lo increíblemente diferente que reaccionamos a las recompensas monetarias dependiendo del tipo de actividad que realizamos. Los invito a que dediquen no más de 20 minutos en presenciar dicha conferencia:

"TED Talk - Dan Pink - La Sorprendente Ciencia de la Motivación"

Los miembros de un equipo de IT somos entes que mediante la creatividad transformamos necesidades de información de un cliente en una pieza de software funcional. Nosotros trabajamos mucho haciendo uso de nuestra creatividad. Aunque muchas aplicaciones luzcan similares y aunque existan herramientas que facilitan y automatizan las tareas de desarrollo, siempre existe un momento en el que expresamos una forma única de llevar a cabo una tarea.

Tomando las ideas presentadas en el video de TED podemos generar una lista extendida de las cosas que realmente motivan a un informático a crear software de mejor calidad en un menor tempo.

• Libertad de acción: Tal como lo menciona Dan en su conferencia de TED, Google y otras empresas han obtenido grandes resultados permitiéndole a sus empleados de IT ciertas franjas de tiempo para dedicarlas en proyectos de su elección.
• Reputación: No es ningún secreto que una característica común entre programadores (y otros de IT) es su egocetrismo. Debido a ello muchos programadores se sienten mucho mas motivados por ganar reconocimiento por competencias y retos mas que por ganancias económicas.
• Importancia de los proyectos: Entre más personas vayan a utilizar lo que estás desarrollando y entre más vital sea este proyecto para tu empresa, el equipo se sentirá más comprometido con el mismo, sabiendo que por ser parte del proyecto los ojos de los altos mandos están puestos en su desarrollo y por ende, en quienes lo están llevando acabo sabiendo que si tiene éxito estos serán reconocidos.
• Diversificación: Trabajar en proyectos de diferentes índoles y constante cambio de tecnologías y frameworks que incrementen los conocimientos y experiencia del equipo, pudiendo extender su horizonte de habilidades.
• Actualización: Herramientas actuales y sin temor a experimentar con nuevas librerías y frameworks. A nadie le gusta trabajar con tecnologías pasadas de moda solamente porque quienes toman las decisiones de adquirirla no conocen lo que realmente están comprando y en muchas ocasiones no son ellos quienes van a usarla.
• Involucramiento de sus superiores: Si eres el gerente, jefe de área, coordinador o líder de un proyecto de IT, aunque no hayas estudiado nada de informática es tu deber involucarte y aprender por lo menos a nivel general la terminología técnica del proyecto y brindar completo apoyo a tu equipo de IT. Si los jefes de IT no se involucran y no tienen ni la remota idea de lo que el equipo de IT realiza, este no se siente apoyado y posiblemente ellos te hagan pasar por escenas como este episodio de The IT Crowd:

"The IT Crowd - The Internet"

Alguna otra sugerencia para motivar a un equipo de IT?

Qué Motiva a un Equipo de IT?

Hace poco tuve la oportunidad de ver la conferencia de TED de Dan Pink en la cual nos explica lo que mejor funciona para motivanos a realizar una u otra tarea en nuestro trabajo y lo increíblemente diferente que reaccionamos a las recompensas monetarias dependiendo del tipo de actividad que realizamos. Los invito a que dediquen no más de 20 minutos en presenciar dicha conferencia:

"TED Talk - Dan Pink - La Sorprendente Ciencia de la Motivación"

Los miembros de un equipo de IT somos entes que mediante la creatividad transformamos necesidades de información de un cliente en una pieza de software funcional. Nosotros trabajamos mucho haciendo uso de nuestra creatividad. Aunque muchas aplicaciones luzcan similares y aunque existan herramientas que facilitan y automatizan las tareas de desarrollo, siempre existe un momento en el que expresamos una forma única de llevar a cabo una tarea.

Tomando las ideas presentadas en el video de TED podemos generar una lista extendida de las cosas que realmente motivan a un informático a crear software de mejor calidad en un menor tempo.

• Libertad de acción: Tal como lo menciona Dan en su conferencia de TED, Google y otras empresas han obtenido grandes resultados permitiéndole a sus empleados de IT ciertas franjas de tiempo para dedicarlas en proyectos de su elección.
• Reputación: No es ningún secreto que una característica común entre programadores (y otros de IT) es su egocetrismo. Debido a ello muchos programadores se sienten mucho mas motivados por ganar reconocimiento por competencias y retos mas que por ganancias económicas.
• Importancia de los proyectos: Entre más personas vayan a utilizar lo que estás desarrollando y entre más vital sea este proyecto para tu empresa, el equipo se sentirá más comprometido con el mismo, sabiendo que por ser parte del proyecto los ojos de los altos mandos están puestos en su desarrollo y por ende, en quienes lo están llevando acabo sabiendo que si tiene éxito estos serán reconocidos.
• Diversificación: Trabajar en proyectos de diferentes índoles y constante cambio de tecnologías y frameworks que incrementen los conocimientos y experiencia del equipo, pudiendo extender su horizonte de habilidades.
• Actualización: Herramientas actuales y sin temor a experimentar con nuevas librerías y frameworks. A nadie le gusta trabajar con tecnologías pasadas de moda solamente porque quienes toman las decisiones de adquirirla no conocen lo que realmente están comprando y en muchas ocasiones no son ellos quienes van a usarla.
• Involucramiento de sus superiores: Si eres el gerente, jefe de área, coordinador o líder de un proyecto de IT, aunque no hayas estudiado nada de informática es tu deber involucarte y aprender por lo menos a nivel general la terminología técnica del proyecto y brindar completo apoyo a tu equipo de IT. Si los jefes de IT no se involucran y no tienen ni la remota idea de lo que el equipo de IT realiza, este no se siente apoyado y posiblemente ellos te hagan pasar por escenas como este episodio de The IT Crowd:

"The IT Crowd - The Internet"

Alguna otra sugerencia para motivar a un equipo de IT?