REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

Vender seguridad informática a tu organización

Vender seguridad informática a tu organización - Revista Seguridad - UNAM-CERT

La venta de seguridad informática no es una tarea fácil. Incrementar el nivel de protección en las redes, sistemas y aplicaciones involucra un esfuerzo extra. Para lograrlo, el área de sistemas debe emplear a su personal en estas actividades y dejar de lado sus tareas cotidianas, así como dejar o suspender otras actividades con el fin de atender los pendientes de seguridad. En el peor de los casos, no sólo es tiempo, sino también presupuesto lo que interfiere.

Por lo tanto, atender a la seguridad se percibe como una carga extra tanto para usuarios como para administradores de sistemas. Es trabajo que probablemente no estaba contemplado y que es resultado de varias situaciones, aquí muestro algunos posibles escenarios:

  • Pentest interno o externo. El resultado de estos ejercicios seguramente va a generar más de un hallazgo que tiene que ser solucionado. Son problemas que "no se tenían que remediar" anteriormente.
  • Consultoría de seguridad. Es común que en el área de seguridad informática se contraten servicios de consultoría para atender alguna necesidad. Puede tratarse de poner en marcha un sistema de gestión de seguridad o para apegarse a un estándar. También serán las áreas de Tecnologías de Información (TI) quienes estarán involucradas en mantener esos procesos que antes no existían.
  • Nuevas tecnologías. Para el siguiente año hay cambio de marca de firewall perimetral e instalarán por fin esa red inalámbrica que todos están esperando. Pero los de seguridad dicen que no se puede instalar nueva tecnología sin previa revisión. Esas revisiones agregarán otras tareas a esos proyectos de implementación.
  • Recientes problemas de seguridad. A una tecnología usada en la organización que nunca había dado problemas, de pronto le aparecen vulnerabilidades por doquier y amenazas que aprovechan sus debilidades. Es necesario cambiar esa tecnología y con eso, llega un nuevo proyecto.
  • Incidentes de seguridad. Existe la sospecha de un incidente en la infraestructura de TI. El área de seguridad solicita bitácoras para revisarlas y tomar alguna acción. Durante esta investigación, se consume tiempo de las áreas de TI. Sin mencionar que las acciones correctivas también requiere que se involucren otros recursos.
  • Usuarios descontentos. "El antivirus hace a mi computadora lenta", "no puedo entrar a sitios de Internet que necesito para mis labores porque están bloqueados", "no me llegan correos porque algo los detiene", "no puedo ejecutar una aplicación porque aparece un mensaje de seguridad". Seguramente estos usuarios estarían más felices sin los controles de protección. Menos seguros, pero más felices.

mejorar la seguridad informática - Revista Seguridad - UNAM-CERTEl reto es: ¿Cómo conseguir que exista interés por la seguridad? ¿Cómo lograr que los administradores destinen tiempo y recursos para temas de seguridad informática? ¿Cómo poner a la alta dirección del lado de seguridad? ¿Cómo persuadir a los usuarios para que cooperen?

La respuesta más fácil sería obligarlos. Pero eso presenta al menos dos problemas. El primero es que no deberías obligar a la alta dirección (tus jefes), esos son terrenos peligrosos. El segundo es que las quejas pueden multiplicarse tanto y venir de tantas áreas diferentes, que finalmente será el área de seguridad la que se verá obligada a modificar sus procedimientos y sus intentos de conseguir una seguridad perfecta.

Pues bien, la respuesta que yo propongo no es técnica. Es todo lo contrario, se trata de un tema puramente de ventas para ofrecerle a otra persona una idea atractiva. Esto es algo en lo que deseo puntualizar, porque la gente de seguridad informática es buena con los bits y bytes. Muchas veces ellos entienden mejor a las computadoras que a las personas y dominan el Metasploit, pero no el arte de convencer a un grupo de administradores o usuarios. Hacen presentaciones tan técnicas que parece que van a ir a BlackHat y no a una reunión con los jefes. De tal forma que el resto de la empresa los ve como entes raros, como si hablaran de términos oscuros, riesgos inentendibles y que dan trabajo extra a los demás. ¿Así es como quieres vender seguridad a tu empresa?

A continuación, enlisto tácticas concretas que podrían servir para vender seguridad a nuestra organización. No tienen garantía, porque insisto, no es un tema de ingeniería ni una cuestión técnica a resolver. Sin embargo, quiero recalcar que lo importante es intentar estas estrategias y, en caso de no funcionar, continuar insistiendo y creando otras ideas que puedan dar el resultado deseado. De otra forma, impulsar los temas de seguridad informática será una labor ardua, tortuosa y con resultados limitados.

Descarga la revista .Seguridad 20 en PDF

I.- Demuestra de manera práctica las consecuencias. Llevar a cabo pruebas de seguridad internas (como pentest) es ideal para demostrar los riesgos de no incrementar las protecciones. Considero mucho mejor este método que dar una presentación en PowerPoint donde se expone “lo que podría pasar”. Siempre es mejor demostrar la consecuencia de manera práctica y en vivo. Éstas quedan claras cuando se visualiza, por ejemplo, que es posible extraer información de una base de datos importante desde Internet. Y por cierto, a nadie le va a importar la técnica que usaste, cuánto esfuerzo pusiste ni cómo funciona el hackeo. Habla de consecuencias.

II.- Prestar recursos a los departamentos de informática. Las áreas de TI se quejan de que les das más trabajo con cada revisión, consultoría o pentest que haces. ¿Estarías dispuesto a prestar una persona de seguridad informática a esas áreas? Este recurso les ayudará a solucionar un par de tus hallazgos. Dirán que les diste más trabajo, pero apreciarán que les ofrezcas un recurso humano tuyo para que ellos no distraigan tanto a los suyos. La idea es que en verdad prestes a tu recurso y que no sólo se quede en una buena intención.

III.- Proyección de la seguridad al resto de la empresa. No sólo hablo de las áreas de TI, sino del resto de tus usuarios. ¿Haces algo con ellos para explicarles los beneficios de tus controles de seguridad? ¿Conferencias, boletines, correos o artículos en la Intranet? ¿Armas seguido algún programa de concientización (security awareness por su término en inglés)? ¿Recabas los comentarios de tus usuarios por medio de encuestas? ¿Das cursos internos dirigidos a la seguridad informática del hogar de los usuarios? Evalúa la relación que tiene la seguridad informática con el resto de la organización.

IV.- Antes de instalar, avisa y trata de persuadir a tus usuarios. ¿Vas a poner un antivirus en cada computadora? ¿Un producto de listas blancas? ¿Un nuevo firewall a nivel aplicación? ¡Avisa! Informa con sobrada anticipación de lo que vas a implementar y de las ventajas de esa nueva herramienta. Explica si implicará algún trabajo extra para el resto de las áreas en el futuro. Haz presentaciones sobre el cambio y adelántate, como buen pastor, a persuadir a tu rebaño para que siga tu camino. No te vayas al extremo de pedirles las cosas a ver si las quieren; pero tampoco a que no estén enterados de tus planes. Siempre que puedas, evita poner el nuevo producto “de un día para otro”.

Vender seguridad a tu organización - Revista Seguridad - UNAM-CERT

V.- Presenta con el afán de que te entiendan. No estás frente al público de BlackHat. Tampoco estás en DefCon. Estás en tu empresa. Presenta de tal manera que quede claro a tu público de lo que estás hablando. Explica cualquier término complicado. Como ya dije, habla de consecuencias. La cantidad de tecnicismos que uses debe reducirse conforme presentas a gente de jerarquías más altas. Tal vez valga la pena que vayas alguna vez a una junta o conferencia de economistas o de abogados. Cuando entiendas un 30% de lo que ahí se dice, sabrás cómo se sienten los demás en tus exposiciones.

VI.- Usar tecnicismos no te hace ver más inteligente. A propósito del punto anterior. ¿Usas términos como buffer overflow, sql injection o cross site scripting? ¿Crees que hablar así te hace ver superior porque no te entienden? Mal. Si no te entienden, el mensaje completo no llega al destinatario. Eso no es muy inteligente. Sobre todo si le estás explicando un riesgo a alguien que toma decisiones. No tendrá el entendimiento suficiente para impulsar tus iniciativas.

VII.- Ve más allá de vender, haz que te compren. Ve al consultorio de un buen doctor. Siempre estará lleno. Los pacientes van a él. Es su salud. El doctor no les está llamando para que acudan a una visita. No tiene que ir a vender sus servicios de casa en casa, sus pacientes van y lo buscan. No vende, ya hizo que ellos compraran por sí solos. Obviamente es porque ofrece un buen servicio y es bueno en lo que hace.

¿Tú también puedes lograr que tus usuarios y administradores acudan a ti? ¿Que perciban que es mejor ir contigo que no ir y estar desprotegidos? Si lo logras, estarás más allá de la venta de la seguridad, habrás llegado a lo que yo considero el nirvana: que ellos compren la seguridad.

Si quieres saber más consulta:

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.