El ABC de la Seguridad Informática
Cuando hablamos de lo que deben atender las empresas cuando se trata de seguridad informática, son muchas las cuestiones que tienen que atenderse, por lo que algunas veces puede resultar confuso al momento de decidir por dónde empezar.
Si bien existen estándares que sirven de guía para aquellos que inician su camino en el mundo de la seguridad corporativa, hay tres aspectos fundamentales que no se deben descuidar y podríamos resumir en tres sencillos pasos, que constituyen el ABC de la seguridad informática.
A) Articulación de la seguridad con el negocio
El punto de partida parece obvio: se trata de garantizar seguridad a los activos de información. Pero esto que es tan obvio se puede convertir en un gran dolor de cabeza si no se hace con un objetivo centrado en el negocio. Tener un antivirus, un firewall, un IDS, servidores redundantes y soluciones de backup son algunas de las primeras alternativas que se ponen sobre la mesa, pero hay que pensar cómo todo lo que se ve como fundamental para la seguridad se alinea para ayudar a cumplir los objetivos del negocio.
Tal vez convencer a la gerencia de que invierta una cuantiosa cantidad de dinero para cumplir con todos los controles que están en la ISO 27001 se convierte en una labor titánica, incluso mayor que la implementación de cualquier proyecto de seguridad. Pero si entendemos que tener un firewall que bloquee el tráfico de Internet, o una política que impida conectar dispositivos USB en las computadoras, tal vez se conviertan en un escollo para la actividad de la empresa, estamos en el punto de partida para que el área encargada de la seguridad deje ser enemigo público número uno en la empresa.
Cualquier cambio debe ser de acuerdo al nivel de riesgo que aceptan las áreas de operaciones.
B) Buenas prácticas de gestión
Después de dar el paso más obvio y más complejo, que es la implementación de las tecnologías y los procesos de seguridad que acompañen el negocio, es necesario mantener vigente todo el trabajo realizado. De la misma manera en que el área encargada de la seguridad se preocupa por que las implementaciones estén de acuerdo a los objetivos de la empresa, es importante que los encargados del negocio entiendan que no se trata de un proyecto de implementación con un término de finalización, sino que se convierte en un ciclo de mejora continua.
Así, cada nuevo cambio debería adoptarse a través de un enfoque por fases, de tal manera que permita identificar problemas y encontrar soluciones, para que no afecte todo el negocio. Tal vez empezar por los usuarios más experimentados es una buena manera de obtener retroalimentación y mejorar la experiencia para todos los empleados. No basta con garantizar que los controles funcionan técnicamente; es necesario asegurarse de que no representan una carga en los empleados o procesos.
Tal vez uno de los asuntos más críticos para que la gestión sea exitosa, está asociado con las pruebas que se deben hacer de los planes que se implementen, sobre todo aquellos relacionados con la continuidad del negocio. Con las soluciones de backup por ejemplo, es común en las empresas no probar su restablecimiento hasta el momento que ocurre un incidente y en algunos casos suele no funcionar.
C) Concientización de los usuarios
Todo el tiempo y trabajo invertido en los pasos anteriores podría quedarse en el olvido si no se tiene en cuenta al factor humano. Por eso se vuelve vital contar con una adecuada gestión del cambio ya que la implementación de nuevas políticas, procesos y tecnologías en muchas ocasiones pueden generar cierta resistencia por parte de los usuarios.
La empresa debe realizar ajustes enfocados en sus empleados capacitándolos para que adquieran las capacidades que requieren en pro de manejar dichos procesos y tecnologías, y de esta manera sus actividades puedan estar acorde con nuevas necesidades de la organización ante los retos que se plantean.
Por ejemplo, si se adoptan tecnologías de cifrado no solo plantear la política si no también exponer y explicar los beneficios que ofrece o si se trata de implementar un doble factor de autenticación, que suele ser molesto o incómodo para algunos usuarios, exponer además los beneficios y posibilidades para proteger la información personal.
Desafortunadamente, la educación a los usuarios es un aspecto al que no se le presta mucha atención en seguridad informática. Así que la gestión que se haga debe enfocarse en hacer entender a todos los empleados cuáles son las políticas de seguridad y cómo cumplirlas a través del uso adecuado de los controles que se tienen a disposición. Se debe buscar que la seguridad informática se vuelva algo consciente, de tal manera que se pueda reconocer por qué es importante y las consecuencias de incumplir con lo establecido.
Es claro que detrás de cada uno de estos ítems hay una gran cantidad de material por leer, políticas por redactar e implementaciones por desarrollar. Así que una fórmula de solo tres pasos para implementar seguridad informática en una empresa tal vez no exista, pero teniendo en cuenta este ABC, la tarea se hace más manejable. Además, puede ayudar para empezar o reajustar los esfuerzos que se relacionan con la seguridad informática.
Fuente: Welivesecurity