Opinión Info Opinión

Es una necesidad para la supervivencia de la organización

La seguridad no es opcional

José Angel Gómez Carrasco, CISO en Semantic Systems

10/12/2019
El exponencial aumento de las ciberamenazas y su sofisticación, en un mundo cada vez más interconectado, obliga a las organizaciones a adaptarse con rapidez para proteger en tiempo real sus activos más importantes: su información crítica y su reputación. Los profesionales de TI se sienten a menudo librando una batalla que parece perdida. El éxito está en perseverar.

Vulnerabilidades, exploits, malware, ransonware, phishing… los malos tienen a su disposición infinidad de herramientas, tiempo y a veces hasta recursos para conseguir sus objetivos. Mientras que los profesionales TI de las organizaciones tienen que lidiar con presupuestos ajustados y tiempo escaso.

No importa cuán segura creamos nuestra organización, las noticias de ataques exitosos se suceden y nos impiden bajar la guardia. Mientras, el trabajo diario no cesa y debemos seguir manteniendo los servicios que dan soporte al negocio, abordando nuevos proyectos que mejoren nuestra competitividad y ayuden en la estrategia de la organización.

En este escenario vertiginoso, ¿Qué prioridad damos a la seguridad? Podemos tener la tentación de abandonarnos a la suerte y confiar en que las medidas razonables habituales serán suficientes para no ser el siguiente ataque exitoso. O bien entender que la seguridad no es una opción, sino una necesidad para la supervivencia de la organización.

José Angel Gómez Carrasco, CISO en Semantic Systems

José Angel Gómez Carrasco, CISO en Semantic Systems.

Debemos establecer la seguridad desde el diseño, plantearla con cada nuevo proyecto que se aborde, ponernos en la piel del atacante y pensar en las debilidades de nuestros sistemas, formar y concienciar a los usuarios, clientes y proveedores. En definitiva, entender la importancia de establecer una seguridad real en todos los procesos del negocio, especialmente en los más críticos que lo sustentan.

Es una equivocación pensar que la seguridad solo puede conseguirse con tecnologías novedosas, caras y complejas. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».

Los mayores beneficios vienen del conocimiento del negocio, de sus procesos y personas.

Establecer políticas corporativas homogéneas en todos los sistemas: política de contraseñas, clasificación de la información, cifrado de datos, política de backup, gestión de parches y vulnerabilidades, software y hardware autorizado, permisos mínimos…

Naturalmente deberemos utilizar tecnologías de seguridad de contrastada eficacia, nadie gana una guerra sin armas. Pero sobre todo debemos conocerlas bien y configurarlas adecuadamente para sacarlas el máximo partido: antivirus, antispam, firewalls, IDS, filtrado web, VPN.

Y debemos entender que los mayores esfuerzos deben centrarse en proteger los activos críticos más importantes del negocio. La seguridad debe estar alineada con el negocio para ayudarle a conseguir sus objetivos.

La implantación de un sistema de gestión de la seguridad de la información (SGSI), o su versión para la industria (SGCI), son un ejercicio complejo pero necesario para cualquier organización que quiera abordar la seguridad de una forma sistemática y metódica. Los estándares existentes, como la ISO27001, pueden servir de guía en el proceso, incluso cuando no busquemos certificarnos.

En este nuevo escenario de la ciberseguridad, debemos estar abiertos a nuevas tecnologías como la inteligencia artificial y el machine learning, que vienen en nuestra ayuda. No son sin duda la solución mágica a nuestros problemas, pero con el exponencial aumento de datos y sistemas, y la escasez de expertos en ciberseguridad, parecen el único remedio. Estas tecnologías ya funcionan, y sin duda serán imprescindibles en el futuro para realizar gran parte del trabajo automatizable.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos