Cuando planificamos la seguridad informática de una empresa hemos de tener en cuenta un buen número de requisitos: una solución robusta y escalable, que proteja a los usuarios independientemente de donde se encuentren o servicio técnico de categoría por citar un par de ellos. Pero ¿ realmente somos conscientes de las necesidades de los usuarios que vamos a proteger?
Hace unos meses visité una importante organización y me citaron en una cafetería cercana, ya que tenían por costumbre bajar a toma el café a las 11. Esa era la hora en la que se actualizaba el antivirus y prácticamente les dejaba inutilizables los PCs. “Habrá de ser un antivirus muy robusto y potente”, pensé yo, y, según contaba el departamento de TI, estaba realizando una buena labor, pero creo que entenderéis que yo piense todo lo contrario ya que, interrumpir el trabajo de todos los empleados durante media hora diaria, suponía una pérdida de muchos millones de euros.
Uno de los factores clave de nuestra estrategia de seguridad es mantener al usuario trabajando el 100% del tiempo. La seguridad ha de ser lo más transparente posible para el usuario, ésta no debe interponerse en su trabajo. No podemos pretender instaurar un estado policial dentro de la empresa en el que todo este supeditado a la seguridad. La seguridad es fundamental, pero tenemos que verla como una herramienta facilitadora de negocio, no como ese lastre necesario para mantener nuestros secretos a salvo.
Tampoco sería una solución efectiva que para que se implemente esta seguridad, sea necesario un largo período de tiempo en el que el usuario no pueda trabajar, o que para cualquier actualización o mejora, tengamos que molestar a los trabajadores.
Una buena práctica es buscar soluciones que simplifiquen las tareas más comunes, automatizando el máximo número de procesos, como por ejemplo la desinfección de un malware o la recuperación de una contraseña olvidada.
#Manteneralosusuariostrabajando es una de las claves para poder considerar un proyecto de seguridad como un éxito. Ya he ilustrado uno de los casos más flagrantes donde la seguridad no cumplía su cometido (entiendo seguridad como un todo, no solo firmas de virus), pero además de proteger y de dejar trabajar a los usuarios, debemos plantearnos el tiempo de administración que conlleva para nuestros equipos.
En la gran mayoría de las empresas no existe una persona dedicada a la seguridad, con lo que todo el tiempo que éste le dedique es tiempo que no está dedicando al negocio. Es por esta razón que cuando pensamos en proyectos de seguridad deberíamos plantearnos algunas preguntas que afectan directamente al tiempo de nuestros usuarios y equipos TI, ¿Tengo un buen soporte técnico? ¿Cuánto tiempo tengo que dedicar al día a la seguridad? ¿Tengo visibilidad sobre el estado de la seguridad de mi organización?
Recordemos que la seguridad informática pertenece al departamento de informática y que, como cualquier otro departamento, incide en el ROI de la empresa. Obviamente este mejorará si mantenemos a los usuarios trabajando. La próxima vez que valores una solución de seguridad, harás bien en plantearte estas preguntas.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario