La seguridad no es opcional
José Angel Gómez Carrasco, CISO en Semantic Systems
10/12/2019Vulnerabilidades, exploits, malware, ransonware, phishing… los malos tienen a su disposición infinidad de herramientas, tiempo y a veces hasta recursos para conseguir sus objetivos. Mientras que los profesionales TI de las organizaciones tienen que lidiar con presupuestos ajustados y tiempo escaso.
No importa cuán segura creamos nuestra organización, las noticias de ataques exitosos se suceden y nos impiden bajar la guardia. Mientras, el trabajo diario no cesa y debemos seguir manteniendo los servicios que dan soporte al negocio, abordando nuevos proyectos que mejoren nuestra competitividad y ayuden en la estrategia de la organización.
En este escenario vertiginoso, ¿Qué prioridad damos a la seguridad? Podemos tener la tentación de abandonarnos a la suerte y confiar en que las medidas razonables habituales serán suficientes para no ser el siguiente ataque exitoso. O bien entender que la seguridad no es una opción, sino una necesidad para la supervivencia de la organización.
José Angel Gómez Carrasco, CISO en Semantic Systems.
Debemos establecer la seguridad desde el diseño, plantearla con cada nuevo proyecto que se aborde, ponernos en la piel del atacante y pensar en las debilidades de nuestros sistemas, formar y concienciar a los usuarios, clientes y proveedores. En definitiva, entender la importancia de establecer una seguridad real en todos los procesos del negocio, especialmente en los más críticos que lo sustentan.
Es una equivocación pensar que la seguridad solo puede conseguirse con tecnologías novedosas, caras y complejas. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».
Los mayores beneficios vienen del conocimiento del negocio, de sus procesos y personas.
Establecer políticas corporativas homogéneas en todos los sistemas: política de contraseñas, clasificación de la información, cifrado de datos, política de backup, gestión de parches y vulnerabilidades, software y hardware autorizado, permisos mínimos…
Naturalmente deberemos utilizar tecnologías de seguridad de contrastada eficacia, nadie gana una guerra sin armas. Pero sobre todo debemos conocerlas bien y configurarlas adecuadamente para sacarlas el máximo partido: antivirus, antispam, firewalls, IDS, filtrado web, VPN.
Y debemos entender que los mayores esfuerzos deben centrarse en proteger los activos críticos más importantes del negocio. La seguridad debe estar alineada con el negocio para ayudarle a conseguir sus objetivos.
La implantación de un sistema de gestión de la seguridad de la información (SGSI), o su versión para la industria (SGCI), son un ejercicio complejo pero necesario para cualquier organización que quiera abordar la seguridad de una forma sistemática y metódica. Los estándares existentes, como la ISO27001, pueden servir de guía en el proceso, incluso cuando no busquemos certificarnos.
En este nuevo escenario de la ciberseguridad, debemos estar abiertos a nuevas tecnologías como la inteligencia artificial y el machine learning, que vienen en nuestra ayuda. No son sin duda la solución mágica a nuestros problemas, pero con el exponencial aumento de datos y sistemas, y la escasez de expertos en ciberseguridad, parecen el único remedio. Estas tecnologías ya funcionan, y sin duda serán imprescindibles en el futuro para realizar gran parte del trabajo automatizable.