CIGRAS-Solo cumplir o empoderar a las personas para
Transcripción
CIGRAS-Solo cumplir o empoderar a las personas para
Imperativo de las Organizaciones: ¿Solo Cumplir o Empoderar a las personas para actuar prudentemente ante la inseguridad de la información? Reynaldo C. de la Fuente Temario Un poco de terapia de grupo. Una Tesis. Cumplimiento – Riesgo – Gobierno. Empoderar a las Personas. Empoderar a los Clientes. Reportar Incidentes. Mejora Continua. Conclusiones. 2 Un poco de terapia de grupo… Afirmaciones Varias: – Esta charla no es para mi, es para mi jefe. – A nuestros clientes no les preocupa la seguridad. – Si mañana tenemos un incidente no tendría un impacto importante para nuestra organización…. – ¡Pero así no puedo trabajar! – El nivel de capacitación y concientización de nuestros clientes NO es nuestra responsabilidad. Algunas Preguntas – ¿Al final todo se reduce a cumplir requisitos? – ¿Son suficientes los requisitos de seguridad que están obligados a cumplir las instituciones que manejan datos personales, financieros, de salud en Uruguay y la región o acaso debemos definirnos metas más altas, alineadas a valores fundamentales, considerando las expectativas de todas las partes interesadas? – ¿Qué tan complejas de usar son las herramientas de seguridad que les estamos brindando a las personas? ¿Les hemos dado una adecuada difusión y capacitación? ¿Son eficientes y eficaces? 3 Una Tesis.. Para lograr un adecuado proceso de mejora en materia de seguridad de la información no es suficiente con considerar los marcos de Cumplimiento. Las organizaciones deben asumir una posición proactiva, basada en el GOBIERNO de la Seguridad, que considere su responsabilidad empresarial, y que tenga como uno de sus pilares el empoderar a todas las personas involucradas para con la seguridad de la información. Por empoderar a las personas debemos, al menos: a) Brindar una adecuada transferencia de conocimiento en materia de seguridad de la información, que les permita comprender la realidad tal cual es, así como sus roles y responsabilidades. b) Brindarle herramientas de seguridad eficaces que le permitan mantener los niveles de eficiencia operativos requeridos para las tareas que desempeñan. c) Incorporar en los procesos de gestión correspondientes, el alineamiento entre los objetivos de gestión de los sectores, las personas y los objetivos de seguridad establecidos. 4 Cumplimiento – Gobierno – Riesgo – Cumplimiento – Riesgo – Cumplimiento ¿Qué camino recorren las organizaciones? A la hora de recorrer un camino de mejora de la seguridad de la información los procesos comienzan en muchas organizaciones por la necesidad de CUMPLIR con marcos obligatorios y voluntarios. Es importante que este proceso evolucione desde una necesidad de CUMPLIMIENTO, a una visión de GESTION DE RIESGOS, GOBIERNO Y GESTION de la seguridad, y de RESPONSABILDIAD CORPORATIVA. Gobierno Corporativo. Gestión de Riesgos. Cumplimiento. El CUMPIMIENTO, idealmente, debería ser uno de los resultado logrados, y no un objetivo en si mismo. 5 Cumplimiento… Los marcos de Cumplimiento Voluntarios o Obligatorios establecen herramientas para empoderar a las personas. ERM No obstante, no en muchos casos se establece de una forma explícita que lleve a una implementación efectiva. COBIT 27001 / PCI-DSS Aspectos normalmente cubiertos: Compromiso y Responsabilidad de la Dirección. Formalización de Roles y Responsabilidades. Concientización del Personal. Responsabilidad de los usuarios. Regulador Protección de Datos 6 Gestión de Riesgos. Probabilidad – Impacto….Personas Un gran número de Riesgos de Seguridad de la Información tiene una relación directa con el grado de empoderamiento de las personas frente a la seguridad. Existen diversos escenarios de riesgos para los cuales no existen un control técnico efectivo. Una vez superados los requisitos básicos de CUMPLIMIENTO, diversos Riesgos de seguridad podrían encontrase en niveles de ser ACEPTADOS. No deberían serlo sin antes considerar todas las implicancias y el impacto sobre todas las PERSONAS involucradas. 7 Gestión de Riesgos. Sony, in total, anticipates spending $35 million “restoring financial and IT systems” for the full fiscal year. Further writing off the breach’s monetary ramifications, the company forecasts: “Sony believes that the impact of the cyberattack on its consolidated results for the fiscal year ending March 31, 2015 will not be material.” These numbers are likely not small enough to vindicate Sony Pictures’ former executive director of information security. In 2007, he told CIO Magazine that “‘it’s a valid business decision to accept the risk’ of a security breach…I will not invest $10 million to avoid a possible $1 million loss.” But Dean’s analysis does come alarmingly close to making the minimal effort-stance a defensible position. 8 Gobierno de la Seguridad de la Información El gobierno de la seguridad de la información debe alinear los objetivos y estrategias de la seguridad de la información con: los objetivos y estrategias del negocio, así como con los requisitos de cumplimiento legal, regulatorio o contractual. A su vez, este proceso debe ser evaluado, analizado e implementado por medio de un enfoque basado en la gestión de riesgos, soportado por un sistema de control interno. La Alta Dirección es el último responsable, y quien rinde cuentas, por las decisiones y desempeño de la empresa en materia de seguridad de la información. Debe buscar asegurar que el enfoque para la seguridad de la información es eficiente, efectivo, aceptable y alineado con los objetivos y estrategias de la empresa, así como con las expectativas de las partes interesadas. 9 Principios del Gobierno de la Seguridad de la Información El cumplir con las necesidades de todas las partes interesadas y entregar valor a cada una es fundamental para el éxito de la seguridad de la información en el largo plazo. Para lograr el objetivo de gobierno de alinear la seguridad de la información con los objetivos del negocio y entregar valor a todas las partes interesadas se establecen 6 principios orientados a la acción: – – – – – – Establecer la seguridad de la información a lo largo y ancho de la organización. Adoptar un enfoque basado en riesgos. La gestión de las inversiones en seguridad. Asegurar el cumplimiento con requisitos internos y externos. Cultivar un ambiente y cultura positiva de seguridad de la información. La revisión del desempeño de la seguridad en relación con los objetivos del negocio. 10 Empoderar a las Personas Empoderar a las personas para actuar prudentemente Empoderar: Hacer poderoso o fuerte a un individuo o grupo social desfavorecido. (RAE) Prudencia: Una de las cuatro virtudes cardinales, que consiste en discernir y distinguir lo que es bueno o malo, para seguirlo o huir de ello. Nos permite discernir como las cosas son en la realidad aunque quisiéramos que fueran de otra manera, actuando en consecuencia. Para lograrlo: 1 – Debemos alinear claramente el mensaje con los hechos asignado objetivos y responsabilidades. 2 – Debemos brindar información, capacitación y concientización a todas las personas. 3 – Debemos brindar a las personas herramientas de control eficaces y eficientes. 4 – Debemos medir y actuar en consecuencia. 12 Alinear asignando objetivos y responsabilidades La Alta dirección debe comprender su rol y responsabilidad. En los objetivos y metas anuales de los sectores y las personas, se deben incluir las responsabilidades para con la seguridad de la Información. En las evaluaciones de desempeño se deben tener en cuenta la Seguridad de la Información. Si la responsabilidad es de todos, esto debe estar implementado en los hechos. ¿Es acaso razonable esperar un compromiso con la seguridad cuando estos aspectos no están alienados? 13 Capacitación y Concientización en Seguridad La Concienciación debe conducir a: • Mejoras en el comportamiento y actitudes del personal • Mejora general organización de la seguridad de la • Reducción de acciones no autorizadas por parte del personal • Aumento de la efectividad de los controles y medidas de protección • Aporte para evitar fraudes, gasto y abuso de los recursos de la organización 14 Capacitación y Concientización en Seguridad Concienciación. Entrenamiento. Educación. Elementos de Comparación Atributo Nivel Objetivo de Aprendizaje Ejemplos de metodología de enseñanza Concientización ¿Qué? Información Reconocimiento y Retención Medios (Videos, cartas, afiches, charlas) Entrenamiento ¿Cómo? Conocimiento Destrezas Instrucción practica (lecturas, caos de estudio, pruebas practicas Exámenes o pruebas de medición Marco de Tiempo para resultados Múltiple opción Resolución de problemas Educación ¿Por qué? Visión Detallada Entendimiento Instrucción practica (seminarios, grupos de discusión, investigación) Informes Corto Plazo Mediano plazo Largo Plazo El personal debe ser consciente de: Políticas de seguridad, estándares, fundamentos, lineamientos y procedimientos Riesgos existentes. Cumplimiento exigido de leyes y regulaciones Cómo identificar y proteger información sensible o clasificada Cómo almacenar, etiquetar y transportar información A quién reportar incidentes de seguridad (sospechados o reales) El por qué de los diferentes controles y procedimientos implementados. Cómo utilizar adecuadamente las diferentes herramientas y procedimientos de control implementados. 15 ¿A quien concientizamos? Esta charla no es para mi…. Estas charlas deben involucrar a todo el personal, al personal de los proveedores en muchos casos y a los Clientes en los casos que corresponda. Concientización Profunda Roles Especiales, Miembros de la Dirección. Concientización Intermedia Gerencias, Tomadores de Decisiones, Algunos Roles Especiales (Clientes, Proveedores, otros) Mayor Riesgo Los primeros que deben recibir charlas de concientización y comprender el impacto que puede tener para ellos un incidente de seguridad son los Directores y Gerentes de las organizaciones. Concientización General. Todo el Personal. Los Clientes. Los Proveedores. 16 Empoderar a los Clientes Concientizar y brindar herramientas Adecuadas Los clientes que acceden a los sistemas de información de las organizaciones deben ser alertados de los riesgos existentes, y buenas prácticas a implementar para la protección de sus datos de identificación y autenticación. Deben ser a su vez informados sobre sus responsabilidades y ante cualquier situación que los afecte. A su vez, las medidas de seguridad implementadas deben ser acordes con los riesgos asociados. 17 Empoderar por medio de Herramientas Eficientes y Eficaces. Al margen del grado de comunicación y capacitación que se realice, los controles y procedimientos que se implemente deben ser eficientes y eficaces. ¿Es razonable depositar toda la seguridad de una organización en una CONTRASEÑA? Al mismo tiempo, ¿es razonable esperar que las personas utilicen adecuadamente una herramienta o procedimiento, sobre el cual no fueron debidamente informados ni capacitados? 18 Obligación de Reportar Incidentes a las Autoridades y a las Personas afectadas La obligación de reportar incidentes de seguridad que pueden haber afectado datos personales de clientes o funcionarios genera diferentes ESTIMULOS a las organizaciones para invertir en seguridad de la información. A su vez, brindan a las personas las garantías para actuar ante incidentes que los afecten. Esto es también parte del EMPODERAMIENTO de las personas. The Economics of Mandatory Security Breach Reporting to Authorities Stefan Laube∗1 , Rainer B¨ohme 19 La mejora continua.. La Eficacia de las acciones de EMPODERAMIENTO de las personas (programa de concientización y capacitación, así como la eficacia de los controles, y su interacción con las personas) debería ser continuamente evaluado. Métricas e Indicadores: – – – – – – – Cantidad de Clientes / Funcionarios Informados, Concientizados, Capacitados. Resultado de encuestadas y evaluaciones de comprensión. Cantidad de Incidentes Reportados. Accesos a Secciones de Educación en Seguridad de nuestros Sitios. Cantidad de Reclamos. Cantidad de Eventos (Cambios de Contraseñas, usuarios, bloqueos) ¿Si el 60% de los llamados de mesa de ayuda son por problemas de contraseñas, que nos esta diciendo? Auditorias Internas y Externas. 20 Conclusiones Si la organización guía su proceso de mejora de la seguridad únicamente con visión de cumplimiento obligatorio o voluntarios, NO se logra impactar en la cultura de la organización, ni obtener los niveles de compromiso requeridos. Si sus roles y responsabilidades no lo establecen, sus objetivos personales no lo incluyen, y los objetivos de gestión del sector o la organización como un todo no lo definen, NO es razonable esperar un compromiso por parte de las personas en materia de seguridad. Si las herramientas y procesos operativos definidos para la seguridad de la información no son eficaces ni aportan valor para el logro de los niveles de eficiencia requeridos por las personas, estas tenderán a buscar o impulsar caminos alternativos. Las organizaciones deben tener el compromiso de alienarse con Buenas Prácticas probadas y reconocidas a nivel mundial para la seguridad de la información en virtud del VALOR real que aportan, consiente de su RESPONSABILIDAD PROFESIONAL Y EMPRESARIA. La clave está en las personas. 21 www.datasec-soft.com [email protected] 22