Design thinking para aumentar la seguridad de la información y la privacidad de los datos
Por
Publicado: June 20, 2017
Las mejores prácticas de seguridad digital y privacidad de datos son esenciales para organizaciones de todos los tamaños y tipos. Se ha escrito mucho sobre las amenazas, los ataques DSD (denegación de servicio distribuido), las batallas legales, el ransomware y las órdenes ejecutivas que afectan a este panorama. Me interesa saber cómo podemos convertir la conciencia de las amenazas en una acción práctica y colaborativa, y cómo reclutar a compañeros de trabajo, jefes, empleados y familiares para que trabajen contigo en la reducción de las amenazas, al tiempo que protegen la privacidad y aumentan la seguridad.
¿Cómo pueden los líderes priorizar y gestionar la responsabilidad adicional de la seguridad y la privacidad mientras dirigen una empresa o una organización sin ánimo de lucro en crecimiento? Encontramos pistas mirando la historia y el éxito del Design thinking . El Design thinking se considera ahora una capacidad empresarial esencial porque obliga a las organizaciones a reimaginar sus propuestas de valor aplicando una perspectiva centrada en el cliente. Pero esto sólo le llevará a una parte del camino. Su verdadero valor sólo se materializa cuando una organización puede reorganizarse internamente y colaborar para hacer que las ideas, resultado del Design thinking , se conviertan en una realidad probada para sus clientes. Lo mismo ocurre con la aplicación de las mejores prácticas en materia de seguridad y privacidad para que su organización siga creciendo y satisfaciendo las crecientes demandas del mercado.
Todos los empleados deberían utilizar un gestor de contraseñas (como Enpass o 1Password). Esto permite al usuario mantener contraseñas complejas sin tener que recordarlas todas. Garantizará que todas las contraseñas de cada sitio sean únicas. Esto dificultará que un atacante pueda reutilizar su contraseña, que puede haber obtenido de un sitio web comprometido, y limita el alcance del daño potencial.
Aquí hay un sitio con más información sobre gestores de contraseñas. Elimina el uso de cuentas compartidas. Las cuentas compartidas suelen ser difíciles de gestionar, difíciles de controlar y casi imposibles de imponer quién tiene acceso. Cada persona debería tener acceso a través de su propia cuenta a los datos que necesita. Las cuentas compartidas suelen ser de larga duración y pueden convertirse en una "puerta trasera" que sobrepasa a quienes tienen conocimiento de su existencia.
¿Cómo pueden los líderes priorizar y gestionar la responsabilidad adicional de la seguridad y la privacidad mientras dirigen una empresa o una organización sin ánimo de lucro en crecimiento? Encontramos pistas mirando la historia y el éxito del Design thinking . El Design thinking se considera ahora una capacidad empresarial esencial porque obliga a las organizaciones a reimaginar sus propuestas de valor aplicando una perspectiva centrada en el cliente. Pero esto sólo le llevará a una parte del camino. Su verdadero valor sólo se materializa cuando una organización puede reorganizarse internamente y colaborar para hacer que las ideas, resultado del Design thinking , se conviertan en una realidad probada para sus clientes. Lo mismo ocurre con la aplicación de las mejores prácticas en materia de seguridad y privacidad para que su organización siga creciendo y satisfaciendo las crecientes demandas del mercado.
Comprende lo que tienes y quién puede quererlo
Al emplear un proceso de pensamiento de diseño para la innovación, las organizaciones comienzan por tratar de entender cada hábito, emoción y motivación de los clientes y empleados, buscando siempre detalles de las necesidades no satisfechas. Adoptar el pensamiento de seguridad y privacidad no es diferente. Haz un mapa de los activos valiosos de la organización y de quién puede tener acceso a ellos, tanto en la actualidad como en el pasado. Examina cómo los empleados utilizan los datos, las herramientas y las prácticas para comprender el panorama de las amenazas o quién podría querer acceder a los datos. Para aplicar el pensamiento de seguridad y privacidad, los líderes quieren entender qué tipos de datos tienen, dónde los tienen y qué utilizan para comunicarlos tanto interna como externamente. Aunque no se crea que la organización tiene adversarios evidentes, al poseer y procesar datos, hay actores que desean dañar, robar o explotar sus activos de información.Inventario para entender: mapear quién tiene acceso y a qué niveles
Hacer un inventario de todo lo digital, intangible y de hardware puede ser una forma valiosa y sorprendente de averiguar cuántos puntos de entrada tiene un atacante para acceder a tus datos valiosos. Este es un ejemplo de Business Model Canvas: un tablero para ayudar a generar ideas e identificar todos los activos notables de su organización.Idear y priorizar lo que vale la pena tratar
Una vez que conozcas los activos que tiene tu organización, es hora de idear cómo abordarlos y a qué dar prioridad. Sugerencia: el cambio de comportamiento siempre será una parte importante de la mejora de su estado de seguridad y privacidad. Hay una serie de ventajas rápidas que se pueden aplicar y comportamientos que se pueden fomentar desde el principio. Discutir algunos de ellos en equipo y comprometerse con ellos dará lugar a otras ideas y compromisos que se adapten a las necesidades específicas de su organización.How assets may be at risk
Aquí hay algunas cosas que han mejorado la privacidad y la seguridad básicas:
1. Conoce íntimamente los términos del SLA Service Level Agreement) para cualquier activo vital de la empresa, como el alojamiento del sitio web o el CMS y las herramientas de relación con el cliente
Si utilizas un proveedor para alojar tu sitio web, comprueba el acuerdo de nivel de servicio para ver si protege tus datos en caso de emergencia. Una regla general es: si no pagas por un producto, tú eres el producto. Las versiones gratuitas suelen venir con los planes de recuperación o protección más bajos posibles, así que debes saber en qué te metes y de qué estás protegido y no protegido cuando utilizas algo que es vital para el funcionamiento de tu organización, como un sitio web. Si hay un nivel de pago de ese servicio, o un complemento que cuesta un poco más, es posible que quieras considerarlo para mejorar los términos del SLA. Además, presta atención a dónde almacenas tus copias de seguridad o recuperación de desastres. Es posible que tengas que mantener tu propia copia de los datos si el proveedor los pierde.2. Redacta tus propias políticas y condiciones de servicio
El National Institute for Standards and Technology (NIST) tiene ejemplos y plantillas para políticas de seguridad digital y privacidad de datos que cualquier organización puede y debe adaptar para satisfacer sus necesidades. La estación de radio WNYC, hogar del podcast 'note to self', 'the tech show about being human' también tiene un lenguaje sencillo y claro'terms of service', puedes usarlo como punto de partida. Los excelentes términos de servicio y políticas no siempre tienen que tener 50 páginas y estar escritos en jerga legal. Puedes intentar hacer una lluvia de ideas con tu equipo sobre los valores, principios y hábitos aceptables e inaceptables que espera de los empleados, fundadores, juntas y clientes para integrarlos en tus propios términos de servicio personalizados. Para obtener más inspiración sobre esto, escucha este podcast.3. Escoge buenas herramientas: minimiza la cantidad de herramientas que utilizas para comunicarte y consolida lo que puedas
Una de las mejores maneras de reducir el riesgo es que todos los miembros de la organización utilicen el mismo servicio en la nube, pensando cuidadosamente en quién tiene qué permisos. Además, opta por herramientas de código abierto y cifradas como Signal, WhatsApp o Keybase como herramientas secundarias para la comunicación cuando puedas. Y lo que es más importante, asegúrate de que todos los dispositivos de hardware tienen una copia de seguridad y están encriptados. Esto puede ser tan sencillo como activar FileVault2 (MacOs), BitLocker (Windows). En los teléfonos, las versiones modernas de (Android) vienen con cifrado de archivos o de todo el disco. iOS también está cifrado por defecto.Todos los empleados deberían utilizar un gestor de contraseñas (como Enpass o 1Password). Esto permite al usuario mantener contraseñas complejas sin tener que recordarlas todas. Garantizará que todas las contraseñas de cada sitio sean únicas. Esto dificultará que un atacante pueda reutilizar su contraseña, que puede haber obtenido de un sitio web comprometido, y limita el alcance del daño potencial.
Aquí hay un sitio con más información sobre gestores de contraseñas. Elimina el uso de cuentas compartidas. Las cuentas compartidas suelen ser difíciles de gestionar, difíciles de controlar y casi imposibles de imponer quién tiene acceso. Cada persona debería tener acceso a través de su propia cuenta a los datos que necesita. Las cuentas compartidas suelen ser de larga duración y pueden convertirse en una "puerta trasera" que sobrepasa a quienes tienen conocimiento de su existencia.
Prueba y aplicación, rápida y lenta
Un modelo exhaustivo de amenazas con expertos en seguridad puede exponer tanto tácticas de ganancia rápida como estrategias a largo plazo para hacer frente a las amenazas y crear mejores prácticas. Sin embargo, al igual que el pensamiento de diseño, el pensamiento de seguridad y privacidad tiene que ver mucho más con la comprensión del comportamiento y los hábitos de las personas que con casi cualquier otra cosa. Desde este punto de vista, las personas y las organizaciones pueden ver una imagen holística de lo que pueden necesitar para aplicar su estrategia de seguridad y privacidad. Crea un plan de ensayos, pruebas, evaluaciones y retrospectivas periódicas para saber qué funciona en tu organización y qué no. Si quieres saber más sobre el modelado de amenazas, consulta algunas de estas fuentes: Hoy en día, una de las oportunidades más importantes que las organizaciones pueden abordar para crear valor de forma consistente es la implementación de buenas prácticas de seguridad digital y privacidad de datos. Queremos ver una adopción a gran escala del pensamiento de seguridad y privacidad que refleje el éxito del design thinking en las últimas dos décadas. Las organizaciones pueden iniciar esta adopción utilizando métodos de pensamiento de diseño.Aviso legal: Las declaraciones y opiniones expresadas en este artículo son las del autor/a o autores y no reflejan necesariamente las posiciones de Thoughtworks.