Seguridad

La divulgación completa también se aplica a la seguridad interna

Si ha estado prestando atención a las noticias, es posible que haya notado algunos informes recientes de que es posible que las empresas no sean comunicativas cuando se trata de cuestiones de seguridad. Por ejemplo, recientemente supimos que Uber sufrió una infracción en 2016. Como supimos de informes de noticias posteriores, es posible que la empresa haya pagado a los atacantes para que guardaran silencio sobre la infracción en lugar de admitirla públicamente.

De manera similar, probablemente todos recordamos (y todavía estemos lidiando con) las consecuencias de la violación de Equifax, que expuso los registros crediticios de millones de personas. La junta directiva de Equifax encargó recientemente un informe que examinara las ventas de acciones por parte de ejecutivos clave poco después de la violación. La investigación encontró que los ejecutivos que vendieron las acciones no estaban al tanto de la infracción en ese momento y no se enteraron de su ocurrencia hasta mucho después del hecho.

Entonces, si bien algunas personas de Equifax estaban conscientes de la exposición, los informes muestran que los ejecutivos clave no se enteraron hasta semanas después.

La cuestión es que hay una lección que los profesionales de la seguridad pueden aprender de tales incidentes, incluso más allá de lo obvio: a saber, el impacto que puede tener una violación de la seguridad bien publicitada. Específicamente, hay una lección sobre cómo y cuándo nos comunicamos dentro de nuestras propias organizaciones (con las partes interesadas internas, los tomadores de decisiones, la alta dirección y la junta directiva) sobre eventos e incidentes relacionados con la seguridad.

Aunque podemos sentirnos presionados a restar importancia u ocultar hechos desafiantes, este rara vez es el mejor curso de acción a largo plazo. Obviamente, las comunicaciones sobre estos temas deben realizarse con la debida cautela según las circunstancias.

Por ejemplo, es posible que no desee utilizar un megáfono para gritar sobre una infracción hasta que haya completado toda la diligencia debida y haya confirmado que realmente se produjo una infracción. Sin embargo, la comunicación eficaz y abierta es un componente clave de cualquier estrategia de afrontamiento exitosa.

LEER  TikTok encabeza YouTube en tiempo de visualización entre los usuarios de Android

Sin embargo, esta comunicación no ocurre por sí sola. Hay algunas bases por hacer. Es necesaria la previsión si queremos comunicarnos de la mejor manera posible, tanto durante una infracción como como un proceso normal de prevención rutinaria y “higiene” de seguridad continua.

A veces esto puede requerir que transmitamos información que es difícil de escuchar para otros miembros de la organización. Puede que no nos haga populares, pero no es nuestro trabajo ser populares, es nuestro trabajo mantener segura la organización.

funcionamiento interno

Cuando se trata de vulnerabilidades, la sabiduría convencional nos dice que la divulgación es beneficiosa: ayuda a toda la comunidad. Al alertar a la comunidad sobre la existencia de una vulnerabilidad, puede lograr que las personas tomen medidas; por ejemplo, instalando parches, fortaleciendo las configuraciones para el problema, implementando controles de compensación o incluso (si la situación es lo suficientemente extrema) dejando de usar la vulnerabilidad. tecnología pendiente de resolución.

Conocer los hechos puede proporcionar a quienes puedan verse afectados por un problema opciones que no estarían disponibles si la información se mantuviera en secreto.

Lo mismo ocurre con la información sobre incidentes de seguridad dentro de una organización. Mantener a los equipos internos al tanto de los incidentes de seguridad les permite ayudar y agregar valor. Por ejemplo, un equipo de contabilidad puede ayudar en los esfuerzos de investigación ayudando a distinguir las transacciones legítimas de las sospechosas. El equipo comercial puede proponer una estrategia de remediación basada en el conocimiento de los procesos comerciales o los sistemas de soporte.


Puede obtener ayuda de sus equipos internos informándoles de la situación e involucrándolos. Dado que no sabes quién puede proporcionar esta ayuda específicamente, a menudo es ventajoso buscar apoyo en una red amplia.

Este principio también se aplica a situaciones distintas de las violaciones. En el mundo de la criptografía, el principio de Kerkhoff establece que un criptosistema debe ser resistente a los ataques incluso si todas las operaciones del criptosistema (excepto las claves) son públicas.

Esta apertura y transparencia añade valor al sistema. ¿Por qué? Porque permite el examen por parte de una amplia gama de personas con una variedad de intereses y perspectivas para analizar y realizar mejoras colectivamente.

Los mismos principios se pueden utilizar para las comunicaciones internas sobre objetivos de seguridad. A veces, la apertura puede permitir que el equipo externo de seguridad mejore, analice o contribuya a obtener una mejor imagen general.

Si otras partes interesadas comprenden los objetivos y estrategias para alcanzarlos, un equipo de seguridad abierto puede traducir estas recomendaciones directamente en mejoras y mejores resultados.

¿cómo? ¿cuando? ¿A quien?

El punto es que el valor potencial se puede lograr a través de una comunicación abierta y proactiva con las partes interesadas internas sobre temas de seguridad. Esto es cierto tanto para la comunicación ascendente (es decir, la comunicación con la alta dirección y la junta directiva) como, en algunos casos, la comunicación con grupos de pares.

Dicho esto, es importante darse cuenta de que una comunicación clara, abierta y productiva requiere trabajo. Necesitamos planificar y prepararnos para que se produzca esta comunicación; debemos asegurarnos de que estamos calibrando cuidadosamente nuestra apertura, y también debemos asegurarnos de que estamos trabajando activamente para mitigar las fuerzas que pueden comprometer nuestra capacidad de comunicarnos de manera efectiva.

En primer lugar, es importante que las vías de comunicación estén claramente definidas y aceptadas (y aceptables) dentro de la organización. Esto significa tener conversaciones sobre canales de notificación internos y externos para infracciones e información continua sobre la postura de seguridad.

Una estrategia eficaz para lograrlo es realizar un ejercicio de planificación teórica para ensayar escenarios de comunicación que podría esperar que surjan. Las situaciones de incumplimiento serían un buen punto de partida, pero existen otras situaciones como situaciones de ransomware, situaciones éticas o de denuncia de irregularidades, etc.

Realizar ejercicios específicos y enfocados como este le permite discutir los métodos de comunicación apropiados con anticipación y garantizar que los canales estén documentados. También garantiza que la persona al otro lado de la línea sepa quién es usted y por qué se comunica con ella, y que debe esperar comunicaciones periódicas de su parte.


En segundo lugar, también es importante trabajar activamente para comprender y mitigar los problemas que pueden obstaculizar la comunicación abierta. Por ejemplo, a menudo hay situaciones en las que la naturaleza humana u otros factores obstaculizan un enfoque abierto.

Considere, por ejemplo, que el miembro del equipo responsable de resolver un problema a menudo puede ser el primero en descubrir una actividad no autorizada. Déjeles claro que comunicarse objetivamente a lo largo de vías establecidas no tendrá consecuencias desafortunadas (es decir, culparlos por los problemas existentes en primer lugar).

Del mismo modo, por más banal que parezca, a veces la programación puede ser un problema (es decir, ¿puede reunirse de manera confiable con un alto directivo cuando tiene noticias urgentes que comunicar?). En este caso, vale la pena discutir de antemano si existe un procedimiento de «rotura de cristales» que permita el acceso inmediato a ellos en caso de emergencia.

En última instancia, una buena comunicación es esencial, pero no sucede por sí sola: se necesita trabajo para implementarla, un plan para garantizar que sea efectiva y disciplina y vigilancia para que sea sostenible.

LEER  ¿Es 2021 el año en que los ataques cibernéticos obligan a las leyes de privacidad a crecer?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba