redseguridad 080

especial Alberto Cita Ingeniero de ventas de Symantec "Hasta ahora se ha abordado la protección del 'endpoint' desde un punto de vista negativo. Nosotros, en cambio, implementamos un modelo positivo que da mayor flexibilidad al usuario para que decida qué quiere instalar sin correr riesgos" ejecutar únicamente determinadas aplicaciones. Después trasladan este modelo al endpoint, dividiendo las aplicaciones en dos tipos: "En las que debemos confiar porque se necesitan para el trabajo, como el navegador, Office, Flash, etc.; y el resto. Las primeras las conocemos y las 'enjau- lamos'. El resto las dividimos entre las que tienen buena reputación, que las tenemos monitorizadas; y las que no, que volvemos a enjaular para que no toquen recursos críticos del siste- ma", explicó el directivo. En palabras de Cita, "este modelo de seguridad positivo permite dar una mayor fle- xibilidad al usuario para que decida qué quiere instalar sin comprometer la seguridad del puesto de trabajo". Concienciación y formación Además de todas las protecciones necesarias para mantener a salvo los endpoints, los asistentes a este desa- yuno de trabajo insistieron en la impor- tancia de concienciar y formar tanto a los altos cargos como al resto de empleados, con el fin de que tengan siempre la seguridad en su punto de mira. Para dar ejemplo, cada uno de ellos expuso qué están haciendo en su entidad en ese sentido. Por ejemplo, en el Departamento de Operaciones y Servicios de Salud de Castilla-La Mancha "se han creado a escala regio- nal unidades para ayudar a transmitir a los empleados la importancia de la seguridad", comentó Cayetano Fuentes. "Cada gerencia cuenta con su departamento de Seguridad, que se ocupa, a través de jornadas presencia- les o a distancia, de concienciar sobre la responsabilidad de los datos que se manejan y el uso de los medios que la Administración pone a su disposición". Además, desde su departamen- to continúan insistiendo en una idea extendida desde hace años: que los usuarios guarden sus credenciales en un lugar seguro y que si observan algo sospechoso se lo transmitan rápida- mente al responsable de seguridad. Afortunadamente, según este pro- fesional, los empleados cada vez son más conscientes de la importancia de proteger los endpoints y de que "los datos que manejan no son suyos, sino de los pacientes". En cualquier caso, periódicamente monitorizan los equi- pos para controlar que todo vaya bien. Aparte de esto, Cayetano Fuentes explicó que también han hecho audi- torías de seguridad, certificándose en ISO 27000 y en el Esquema Nacional de Seguridad, y periódicamente entre- gan informes de las auditorías a la dirección, "que, cada vez que los lee detenidamente, se conciencia un poco más con el tema de la seguridad", añadió. En esa línea también están traba- jando en el Servicio Andaluz de Salud, donde, además de realizar campañas de prevención, se ha creado la figura del responsable de seguridad quien, en palabras de Francisco Carbonell, "realiza una labor 'evangelizadora". Asimismo, en esta entidad apuestan por la formación a distancia. Por su parte, en Madrid Digital están haciendo mucho hincapié en concien- ciar a los empleados en materia de nueva legislación sobre protección de El encuentro reunió a representantes de diferentes administraciones públicas de varias comunidades autónomas, expusieron la situación de sus respectivas áreas. datos. "Hasta ahora, hemos puesto mucho el foco en este sentido, pero también tenemos que hacer un esfuer- zo en fomentar el resto de aspectos relacionados con la seguridad, empe- zando con formaciones específicas", confirmó Guillermo García. En este punto, Carlos Alonso Gómez recalcó un aspecto en el que están poniendo mucho énfasis en SACYL: "Uno de los puntos clave en este sen- tido es el propio informático, que sabe cómo saltarse las restricciones y llevar a cabo determinadas políticas de ges- tión que van en contra de las directri- ces establecidas. Por eso, estamos incidiendo en formar a los propios técnicos, porque, a la larga, son una fuente importante de la que aprenden los usuarios". Claro que, en todo este procedi- miento, también hay que ser realistas y saber hasta dónde se puede llegar administración sobre la mesa 12 red seguridad primer trimestre 2018