CIBERSEGURIDAD: ¿Estás haciendo lo básico?

CIBERSEGURIDAD: ¿Estás haciendo lo básico?
Ciberseguridad ·
21 de julio de 2016

Artículo de Rafael Ave Souto, Director del Área de Ciberseguridad de Emetel

Creo que resumiría el trabajo de un responsable de seguridad en conseguir “hacer lo básico”. Y ¿qué es hacer lo básico? primero concienciar a tus empleados, segundo gestionar los riesgos del negocio y por último poner a prueba toda la organización (personas, procesos y tecnología).

El 99% de las vulnerabilidades explotadas provienen de vulnerabilidades y exposiciones comunes (CVE) con más de un año de antigüedad y el 77% de las páginas web escaneadas contienen vulnerabilidades (Verizon, 2015), es decir, que hemos tenido un año para actualizar nuestros sistemas y evitar esa brecha, pero la mayoría de las empresas no están organizadas para asumir estas funciones en su día a día. Si [1] no parcheamos los bugs conocidos, [2] no cambiamos las contraseñas y configuraciones por defecto de los dispositivos y [3] no hacemos copias de seguridad, ¿qué sentido tiene invertir en tecnología para prevenir botnets o amenazas persistentes avanzadas?

Como dijo, Linus Torvalds, la clave está en gestionar personas, tecnología y procesos para garantizar la integridad, confidencialidad y privacidad de nuestra información, alcanzando un nivel aceptable de riesgo, resiliencia y cumplimiento de las normas o leyes.

Si ya estás cumpliendo lo básico, o incluso tienes claro que no vas a ser capaz de cumplir lo básico, creo que es el momento de pedir ayuda. Como también dijo Torvalds: “El tiempo de soluciones sencillas a problemas sencillos hace años que pasó”. Es el momento de gestionar la seguridad, y para ello debes empezar por analizar los objetivos de la organización, sus procesos y alinear la estrategia de seguridad con ellos. La seguridad es un elemento clave para garantizar la continuidad del negocio y preservar la reputación de la marca, y por ello debe ser un proceso (no un proyecto o conjunto de proyectos puntuales) sistemático, documentado y conocido por la organización, no se improvisa, ni es suficiente con encomendarse al sentido común.

Tecnologías que funcionan como palancas de competitividad, como son la computación en la nube, Internet de las cosas  (IoT), el paradigma de la Industria 4.0, y ya no digamos, prácticas como el BYOD, el uso de smartphones, ciudades inteligentes, etc, amplían la ventana de exposición de nuestros sistemas y facilitan los puntos de entrada a los mismos, ya no es posible construir un muro que aísle la empresa, proteger unos activos físicos bien acotados, ahora los activos son intangibles y basados en la información, un ecosistema empresarial expandido, en un nuevo entorno regulatorio. Por otro lado, la ciberdelincuencia ha alcanzado niveles de organización y sofisticación llegando a la industrialización de la ciberdelincuencia.

Es este entorno el que hace de la figura del responsable de seguridad, (CSO o CISO), un garante de sostenibilidad, un valor clave para gestionar un nuevo riesgo, el de la información, que sumar al operativo, financiero o ambiental. Como dijo Peter Drucker hace una década: “El conocimiento se está convirtiendo rápidamente en el único factor de productividad, dejando de lado tanto el capital como la mano de obra”, protejamos ese conocimiento.

Y el papel del CSO es liderar un gobierno de la seguridad de la información que proporcione una dirección estratégica a las actividades de la seguridad, que proporcione [1] una estrategia integral de seguridad, [2] las políticas de gobierno con su conjunto de estándares, [3] una estructura organizacional efectiva con autoridad suficiente y recursos adecuados, y [4] métricas y procesos de monitorizacióninstitucionalizados que garanticen el cumplimiento, proporcionen retroalimentación sobre la efectividad y suministren la información básica para la toma de decisiones (ISACA, CISM).

¿Con quién quieres emprender este camino?

También te puede interesar …