Web 2.0 con toda seguridad

Anuncio
Web 2.0
con toda seguridad
S
i partimos de la base de que
Web 2.0 es una plataforma para
crear, compartir y distribuir información entre diferentes actores, es evidente que hemos
topado con la materia troncal a proteger
en asuntos de seguridad TI: la información. Generalmente se clasifica y cataloga en función de diversos atributos, si
bien el criterio más utilizado suele ser su
grado de confidencialidad (p.ej., pública,
privada o confidencial).
Una de las características de Web 2.0
es que toda la información es pública (por
lo menos para el grupo de interés), por
esta razón, el uso de las redes sociales
para compartir información de la empresa puede no ser una buena idea si no se
tiene un estricto control sobre ella.
Jordi
Gascón
Director Solutions Sales
CA
Como ejemplo y sin caer en apocalípticos mensajes, recientemente un periodista describía que los datos de Facebook y otras redes sociales sobre él y su
entorno familiar proporcionaban suficientes detalles para que unos ciberdelincuentes casi consiguieran convencerle
para realizar una transacción económica
por un “problema de aduanas de su
sobrino”. La suerte quiso que se percatara del engaño a tiempo, pero estuvo a
punto de caer en la trampa. Con esto se
pone de manifiesto que el uso que se
febrero 2010 112
hace de la información no es neutro; puede servir a múltiples objetivos, entre ellos
los delictivos, que suelen ser bastante
lucrativos.
Entonces, ¿cómo aprovechar el potencial de esta plataforma e incorporarla de
manera segura a nuestras organizaciones?
La adopción de esta tecnología es
más beneficiosa que perjudicial para las
empresas, puesto que permite el acceso
inmediato a uno de los mayores tesoros
de cualquier organización: el conocimiento. Ya sea sobre clientes, mercado, ofertas o acercamientos exitosos o fallidos
propios y de la competencia, experiencias comerciales, es decir, un sinfín de
información a nuestro servicio. De modo
que la clave radica en evaluar los riesgos
y aplicar las medidas de control para mitigarlos. Todo ello apoyado, por supuesto,
con un buen programa educativo de los
usuarios finales, tanto en los peligros reales existentes (especialmente el phishing
o la ingeniería social) como en las buenas
prácticas y sin olvidar que debe difundirse esta política a todos los usuarios con
la definición clara de los usos permitidos
en la organización. Ejemplificar el uso de
la información que cae en manos equivocadas con un lenguaje adaptado a todos
los niveles es básico en el proceso de
concienciación de los usuarios.
seguridad y políticas industriales
Por otra parte, controlar el acceso a la
información de las organizaciones, gestionar adecuadamente roles e identidades es esencial, pero no suficiente. Es
importante incorporar soluciones de prevención de pérdida de datos (Data Loss
Prevention) que permitan garantizar que
un usuario que accede legítimamente a la
información por derecho del rol que desempeña en su empresa, no haga un uso
no legítimo de ella, como puede ser
publicarla en una red social, enviarla a un
correo externo, etcétera. Así pues, es
necesario controlar quién accede a qué
información, cómo y cuándo pero, además, qué uso hace de ella.
La seguridad no puede ser un freno
para la adopción de nuevas formas de
colaboración, negocios o comunicación
entre los empleados, clientes o socios
comerciales. El responsable de seguridad debe ser un facilitador en la adopción de las nuevas tendencias en un
mundo que se mueve “a velocidad
Internet”.
Los responsables de seguridad
actuales pueden y deben ser impulsores
en el aprovechamiento de los beneficios
que la incorporación de éstas y otras tecnologías emergentes aportan al negocio.
Como siempre, deben velar para que el
negocio asuma los riesgos inherentes a
cada actividad de manera informada,
asesorando y proporcionando las alternativas tanto tecnológicas como organizativas o metodológicas que existan.
Los profesionales de la seguridad
están obligados a estar a la última con
respecto a los riesgos, nuevas técnicas y
argucias utilizadas y demás peligros de
las actividades relacionadas con las tecnologías de la información. También
deben estar informados y atentos a las
novedades que se produzcan en materia
tecnológica para que dispongan de soluciones que les ayuden a paliar futuros
peligros. Ahora bien, los profundos cambios que se están produciendo en la forma en que se están utilizando las tecnologías (Web 2.0, cloud computing, virtua113 febrero 2010
lización, etc.) nos deberían hacer reflexionar sobre la manera en que abordamos la seguridad. Es imperativo cambiar
de un modelo “defensivo” en el que tenemos controlados todos los elementos
dentro de un perímetro más o menos
conocido a otro más “descentralizado”
en el que no necesariamente conocemos
ni los elementos que estamos protegiendo, ni su localización y, por tanto, debemos concentrarnos en la protección de la
información allá donde resida.
Una cosa sí es cierta: la evolución,
adopción y reinvención de éstas y otras
nuevas formas de utilización de las tecnologías de la información no se frenarán por la imperfección de no ser “absolutamente seguras”. Por tanto, como
tantas otras veces, a los responsables
de seguridad no les queda otra opción
que mitigar al máximo los riesgos ayudándose de todos los instrumentos que
estén a su alcance, en especial, de la
propia tecnología que permite estos
nuevos modelos.
Descargar