Al hilo del reciente post “Seis más una medidas para la seguridad sin concienciación”, sería fácil concluir que la seguridad corporativa sin concienciación, no es una opción.
Frecuentemente, las políticas de seguridad de las empresas, si existen, son una entelequia: Casi todos los empleados saben que existen y sólo unos cuantos saben alguna de ellas y de estos, sólo unos pocos se preocupan por aplicarlas convenientemente.
Sin embargo, la importancia de las políticas es clave para proteger los activos de la compañía, más si cabe cuando en los últimos años la información de la empresa fluye alegremente a través de dispositivos móviles, tanto los que siguen el modelo COPE (CompanyOwnedPersonallyEnabled), como el modelo BYOD (BringYourOwnDevice) en los que se entremezcla el uso profesional con el uso personal.
Si pudiéramos pedir un sistema para promover convenientemente las políticas de seguridad de la empresa, puestos a pedir, tendríamos la siguiente lista de deseos:
- Que habilite la concienciación de las políticas de seguridad de la empresa pero sin la necesidad de leernos un documento infumable. Ya por pedir, que nos permita aprender sobre la marcha, con recomendaciones sobre la mejor forma de proceder en cada situación.
- Que sea multi-dispositivo, es decir, que nos permita utilizarla tanto en smartphones y tablets, así como en nuestro portátil.
- Que en determinados casos, permita realizar un análisis de riesgos de cada situación, incorporando el concepto de oportunidad para equilibrar la acción más adecuada desde el punto de vista de la organización.
- Que no nos moleste continuamente y que tenga como objetivo principal el usuario. Lo ideal sería que apenas nos diéramos cuenta de que existe este sistema y tan sólo nos dé recomendaciones en situaciones en las que haya un alto riesgo para un activo concreto.
Dicho esto, como usuarios del sistema, aún nos faltaría algo muy importante:
- ¿Qué hay de nuestra privacidad?
- ¿Qué tipo de interacciones monitorizaría este sistema?
- ¿Está nuestra información personal a salvo?
El deseo final sería por tanto que solamente recopile la información necesaria para garantizar el cumplimiento de políticas y no almacene información personal.
Pongamos un ejemplo para dejarlo más claro: Si la política de seguridad indica que no instalemos una aplicación de lista negra, el sistema debe monitorizar sólo si esta aplicación está instalada en el dispositivo y descartar la información relativa al resto de aplicaciones instaladas.
En cuanto a la información que le debe llegar al Responsable de Seguridad, esta deberá ser convenientemente cifrada, ya que lo importante no es quién estuvo cerca de incumplir una política, sino que la acción que pone en peligro la información de la empresa no se lleve a cabo, sea quien sea el que lo intentó.
El objetivo, por tanto, no es un sistema que controle a los usuarios para darles una reprimenda, sino que el sistema automatice ese control por medio de recomendaciones. Dichas recomendaciones se traducen en la evolución de la cultura de la empresa, en la que poco a poco se introduce el conocimiento de las políticas de seguridad, de una forma progresiva y automática. En mi opinión, mucho más llevadero que tener que leerse un documento formal, con la ventaja de que con el documento no siempre es fácil relacionar nuestras tareas diarias con cada una de las políticas.
Todos estos deseos, y algunos más que van surgiendo por el camino, son los que pretendemos cumplir en el proyecto MUSES, cuyo lema es “Corporatesecuritywiththeuser at heart”, coordinado por S2 Grupo y en el que colabora con socios de varios países europeos (Suecia, Alemania, Austria, Suiza, Bélgica, Italia y España).
La posibilidad de compartir el proyecto hacia la creación de una comunidad open source es una de nuestras principales metas. Por lo tanto, cualquier desarrollador es bienvenido en participar en esta experiencia open source, a través de la participación en nuestro proyecto GitHub.
A partir de este post, os iremos informando de las novedades del proyecto, pero no olvidéis seguir el proyecto en twitter (@MUSESproject) y facebook (MUSES Project).
El éxito es un trayecto, no un destino. Os mantendremos informados durante el camino.