Más
aún, el hecho de que haya tanto de qué protegerse, tiene el efecto de generar
una sensación de desazón anticipada, ante la cual muchos directores de
tecnología y seguridad sienten que es imposible estar protegido ante todo;
entonces la mejor opción es sencillamente no hacer nada y no malgastar recursos
inútilmente.
Si
a esto le sumamos que cualquier medida de protección nos llevará necesariamente
a invertir tiempo y dinero (casualmente los dos tipos de recursos que nunca
sobran), se está preparando el terreno para que los incidentes sigan creciendo
sin control.
Sin
embargo, más allá de plantear una posición existencial de acuerdo o en
desacuerdo con esta situación, y lejos de pretender dramatizar aún más una
situación que de por sí es bastante preocupante, es importante plantear que
existen medidas mínimas que cualquier organización debería poner en
funcionamiento para aspirar a conseguir al menos un grado básico de seguridad.
¿Cuál
es el mínimo y cómo conseguirlo?
Sería
muy fácil decir, por ejemplo, que el mínimo al que una empresa debe aspirar
para gestionar la seguridad de su información es implementar al 100% la norma
ISO 27001. Pero conseguir eso es muy difícil y puede llevar desde varios meses
a un par de años. Y aún así, la realidad es que muchas compañías están lejos de
poder plantearse semejante desafío, incluso si es verdad que la norma debería
ser un estándar para construir un modelo de gestión adaptado a las necesidades
particulares de cada organización, y complementarlo con otras normas y
regulaciones.
A
continuación, presentamos cinco puntos clave en seguridad de la información,
para cualquier organización:
1. Gestión del riesgo
La
gestión del riesgo es la clave de la proactividad. A menos que uno quiera
pasarse la vida corriendo detrás de los problemas, es necesario implementar
mecanismos que permitan anticiparse a lo que pueda ocurrir.
Ningún
sistema de gestión del riesgo será infalible ni preverá absolutamente todo lo
que pudiera ocurrir. Pero la preparación que implica reconocer los riesgos, y
tratarlos, genera una cultura organizacional que aumenta la resiliencia de las
personas y los procesos, incluso ante eventos no previstos.
Operativamente,
el análisis de riesgos es lo mínimo que una organización debería realizar y
mantener actualizado de forma cíclica y permanente, ya que es la base para
tomar decisiones, y llegar a actuar preventiva y proactivamente.
Si,
además, este análisis de riesgo es cuantitativo y no solamente cualitativo (es
decir, si expresa los riesgos en función de su potencial impacto económico),
estamos hablando de una herramienta muy valiosa para toda la organización, más
allá de las fronteras de los departamentos de TI y seguridad.
2.
Formación
El
concepto de formación (bien conocido para todos los que alguna vez han
trabajado con normas ISO y, claro, para todos los que se dedican a la formación
profesional), incluye los aspectos de capacitación y concientización,
necesarios para el correcto desarrollo de las funciones de cada empleado.
La
idea en este punto es asegurar que los empleados realmente cuenten con las
habilidades mínimas; que además de cumplir con su tarea del día a día, le
garanticen a la empresa que estas actividades no implicarán riesgos
significativos.
Un
programa de formación requiere de la participación activa del departamento de
recursos humanos, en conjunto con las gerencias de tecnología y seguridad de la
información, para definir el plan específico a implementar en cada área de la organización.
Las
dos mayores exigencias de estos programas son, en primer lugar, conseguir los
recursos económicos necesarios y asegurar su asignación en el momento adecuado.
En segundo lugar, desarrollar creativamente las metodologías que permitan
garantizar efectividad, a través del compromiso de los trabajadores.
3.
Seguridad interna
Probablemente,
el tema menos abordado en el mercado sea la integración de mecanismos de
seguridad al interior de las empresas. Instalar un antivirus en los
computadores está muy bien, pero a la vez está lejos de ser suficiente.
Son
muy pocos los casos en que existen sistemas de detección de intrusos
protegiendo el acceso a sus servidores críticos (bases de datos, sistemas ERP y
CRM, etc), desde el interior de la organización (la red interna), y esto es
solamente un ejemplo.
Esto
debería surgir en cualquier análisis de riesgos como prioridad, y empezamos a
ver cómo estas recomendaciones se entrelazan y complementan, y hasta qué punto
la seguridad de la información debe ser abordada de forma sistémica.
4.
Nuevas tecnologías de control
Es
hora de decir que los mecanismos de detección, con los que cuentan actualmente
la mayoría de las organizaciones, son incapaces de identificar y prevenir
muchos de los ataques.
Estamos
acostumbrados a tratar la detección de amenazas por “silos” (de forma aislada),
recibiendo en unas consolas los eventos de servidores; en otra, los
dispositivos de seguridad; y así siguiendo con los dispositivos de networking y
demás componentes de las redes modernas, sin contar tampoco con mecanismos de
integración de los resultados de análisis de vulnerabilidades y test de
penetración.
Esto
es exactamente lo que más conviene a los hackers que utilizan las técnicas de
ataque más modernas. Necesitamos incorporar, gradualmente, nuevas tecnologías
que integren la detección de amenazas en tiempo real, con los análisis de
riesgo preventivos que permitan actuar a tiempo, incluso ante las técnicas de
ataque más novedosas.
5.
Foco en la información
Para
terminar con esta serie de recomendaciones, es fundamental conservar el foco en
lo que deseamos proteger: la información.
Muchos
especialistas recomiendan implementar algún tipo de última línea de defensa en
caso de que todo lo anterior falle, algo así como la última barrera, el último
recurso para tratar de mitigar el riesgo aún en las peores situaciones.
Si
bien cabe analizar en cada caso particular (y con la ayuda de especialistas),
qué medidas es conveniente aplicar, cuáles son las ventajas y los riesgos que
cada una implica, quizás un paradigma de este enfoque sea la encriptación de
datos.
Aunque
un atacante llegue a franquear todas las barreras de seguridad y logre hacerse
de los datos, el hecho de que éstos se encuentren encriptados podría hacer que
resulten prácticamente inservibles. Esto sirve solamente como último recurso,
pero es un buen ejemplo de lo que significa no perder el foco.
Es
importante aclarar que muchas veces no es necesario disponer de medidas
tecnológicas, sino también implementar controles a nivel de procesos. Por
ejemplo, cuando las transacciones que impliquen montos superiores a
determinados límites requieren de una aprobación firmada por escrito; aun si un
atacante lograra generar una solicitud válida, habría un último eslabón en la
cadena de aprobación que impediría la concreción efectiva del ataque.
Fuente: GRUPO EDITORIAL EMB