&#39Haz tu cama&#39 y otras lecciones de vida para la seguridad



Sigue este consejo del famoso discurso de graduación de los comandantes militares y observa cómo se dispara tu equipo de infosec.

En su Discurso de graduación 2014 en la Universidad de Texas en Austin, el almirante William Harry McRaven declaró:

Si quieres cambiar el mundo, comienza haciendo tu cama. … Si haces tu cama todas las mañanas, habrás cumplido la primera tarea del día. Le dará una pequeña sensación de orgullo y lo alentará a hacer otra tarea y otra y otra. Y al last del día, esa tarea completada se habrá convertido en muchas tareas completadas. Hacer la cama también reforzará el hecho de que las pequeñas cosas de la vida son importantes. Si no puede hacer bien las cosas pequeñas, nunca podrá hacer bien las cosas grandes. Y si por casualidad tienes un día depressing, volverás a casa a una cama hecha, que hiciste. Y una cama hecha te anima a que mañana sea mejor.

El comienzo del discurso del almirante McRaven nos enseña una importante lección que podemos aplicar al mundo de la seguridad de la información. ¿Qué quiero decir con esto? En nuestro campo, hay pequeñas cosas que necesitamos hacer día tras día. Es posible que no pensemos en estas tareas como particularmente relevantes o críticas, y de hecho, incluso podemos temer hacerlas. Sin embargo, cada uno de ellos es una parte importante, essential y esencial de un programa exitoso de seguridad de la información.

¿Cuáles son algunas de estas tareas? Hay muchos de ellos, pero aquí están las cinco tareas fundamentales de seguridad de la información que creo que son excelentes equipos de seguridad de la información.

Tarea 1: Proceso
Puede parecer tonto a veces seguir un proceso rígido. Puede ser más fácil cuidar o arreglar algo cuando sea necesario, en lugar de pasar por los trámites requeridos por el proceso. No obstante, seguir los procesos es importante. Existen procesos para garantizar el cumplimiento de la política, aumentar la calidad y la consistencia del trabajo, reducir la subjetividad, disminuir la probabilidad de mistake y documentar y coordinar las diferentes funciones del trabajo. Si bien puede parecer engorroso a veces, los siguientes procesos mejoran la efectividad de una organización de seguridad.

Tarea 2: Documentación
Decir que a la mayoría de los profesionales de seguridad no les gusta documentar su trabajo sería quedarse corto. Sin embargo, existe una gran necesidad de documentar el trabajo, el conocimiento organizacional, las políticas, los procesos, los procedimientos, los incidentes y otros detalles importantes. Esto ayuda a una organización con continuidad cuando los recursos toman tiempo libre, dejan la organización o se transfieren a otros puestos. La documentación también ayuda a reducir el tiempo requerido para realizar tareas de trabajo, tiempo que a menudo se pasa tratando de comprender qué es exactamente lo que hay que hacer y cómo. Más allá de eso, documentar incidentes e investigaciones no solo ayuda al análisis, sino que también sirve como un excelente recurso cuando los ejecutivos, clientes, socios, auditores o reguladores vienen a pedir evidencia.

Tarea 3: procedimientos
Seguir los procedimientos adecuadamente es lo suficientemente difícil y escribirlos en detalle es aún más difícil. Aun así, vale la pena invertir en tiempo y dinero para tener un conjunto de procedimientos confiable y completo que garantice la coherencia entre las diferentes funciones de trabajo. Los procedimientos documentados también permiten que diferentes miembros del equipo entrenen de manera cruzada en diferentes roles y funciones de trabajo, y brindan respaldo en casos en los que alguien está enfermo, toma tiempo libre, se transfiere a otro departamento o abandona la empresa.

Tarea 4: Métricas
Toda organización de seguridad sabe que las métricas son necesarias para tener éxito, pero pocas realmente hacen el trabajo para que sucedan. Cuando se hace correctamente, las métricas nos permiten medir objetivamente y monitorear el riesgo. Cuando el riesgo aumenta a un nivel inaceptable en una o más áreas, puede mitigarse y las métricas también pueden usarse para medir la efectividad de esa mitigación. Las métricas de alta calidad son una de las herramientas más efectivas que tenemos en seguridad para vigilar nuestra postura segura.

¿Por qué, entonces, es tan difícil para tantas organizaciones aprovecharlas de manera efectiva? Principalmente porque las métricas requieren una gran cantidad de atención al detalle. Primero, los riesgos clave deben ser enumerados e identificados. A continuación, se deben desarrollar modelos objetivos para permitir la evaluación y medición del riesgo. También se deben desarrollar rangos aceptables para esos modelos, junto con procedimientos para manejar casos en los que el riesgo se encuentre fuera de esos rangos aceptables, seguido de un proceso para producir e informar regularmente métricas de alta fidelidad. Por último, estas métricas deben ajustarse y actualizarse continuamente según lo requiera el entorno cambiante y el panorama de amenazas.

Tarea 5: Planificar
Para usted, un administrador de seguridad, puede ser obvio lo que debe hacer. Usted sabe qué procesos necesitan mejorar, qué tecnología necesita reutilizarse o reemplazarse, qué personal necesita capacitación o qué áreas del programa necesitan una mirada más cercana. Es importante documentar estos problemas, junto con por qué necesita hacerlo y cómo tiene la intención de hacerlo. Esto, a su vez, lo ayudará a medir e informar el progreso y el aumento de la madurez. La planificación también tiene el beneficio adicional de facilitarle a usted y a los demás comprender y recordar las circunstancias en las que se tomó una decisión, así como ajustar el rumbo de una manera lógica y racional según sea necesario.

Contenido relacionado:

Josh (Twitter: @ananalytical) es un líder experimentado en seguridad de la información que trabaja con empresas para madurar y mejorar sus programas de seguridad empresarial. Anteriormente, Josh se desempeñó como VP, CTO – Tecnologías emergentes en FireEye y como Director de seguridad de … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia original