Cuando proteger no es suficiente

user-pic

Hasta hace unos años era usual que tras comprar una computadora surgiera la clásica pregunta: "¿y necesito un antivirus?". Hoy son excepción quienes tienen dudas al respecto, pero son legión quienes piensan que con "ponerle el antivirus" pueden olvidarse de la seguridad informática hasta que toque pagar la renovación. Lamentablemente, hoy en día, esto no funciona así.

1500x844_seguridad_red.jpg

Una prueba de en qué medida los riesgos derivados de las Tecnologías de la Información deben ser considerados como prioritarios, tanto a nivel personal como empresarial, es que cada vez son más habituales las noticias relacionadas a robos de información o estafas cibernéticas. No se quedan atrás los casos de sabotaje informático, suplantación de identidad, ciberacoso, distribución de archivos maliciosos o de pornografía infantil y otros delitos varios relacionados con la tecnología.

El avance de las Tecnologías de la Información continua imparable. Hace 10 años, en 2007,  salieron al mercado el primer iPhone de Apple, Twitter y Facebook por mencionar tres de las múltiples herramientas sin las que hoy no podríamos vivir, pero que parecen haber estado desde siempre.

Revolución tecnológica y vulnerabilidad

La revolución tecnológica se expande a nuestro alrededor por todos los ámbitos incrementando nuestra vulnerabilidad. Y la evolución, tanto de la seguridad como del "malware", lo hacen a un ritmo en el que resulta imposible a nivel individual tener el control de la situación.



La protección es el eje central de la defensa. Para aplicarla bien es preciso responder a dos preguntas: "¿Qué necesito proteger?", y "¿de qué necesito protegerme?".

Un reciente estudio de ESET Smart Security apuntaba a que las principales tendencias de incremento del riesgo para los próximos meses se localizarían en los Smartphones, el Ramsonware, el internet de las cosas y el espionaje de datos personales. En paralelo, la preocupación de las autoridades por la seguridad en el entorno industrial y las infraestructuras críticas van también en aumento debido a que los incidentes en estas áreas no dejan de multiplicarse.

¿Cómo protegernos?

Asegurar cada uno de estos ámbitos requiere la implementación de tecnologías y protocolos específicos. Se requiere por ejemplo hacer cambios legislativos que incluyan en el código penal la tipificación de delitos que aún no están contemplados. Además de la necesidad de acudir a especialistas que supervisen y controlen el entorno y nos aconsejen sobre cómo protegernos.

El mercado de la seguridad también se adapta a estas necesidades. Grandes empresas tecnológicas orientadas a los servicios de Tecnologías de la Información están incorporando a su oferta tradicional divisiones específicas que den respuestas a los requerimientos de sus clientes en temas de ciberseguridad.

La protección es el eje central de la defensa. Para aplicarla bien es preciso responder a dos preguntas: "¿Qué necesito proteger?", y "¿de qué necesito protegerme?". El camino para encontrar las respuestas ya lo señalaron los filósofos griegos 400 años antes de Cristo: "Conócete a ti mismo".

El aforismo inscrito en la fachada del Templo de Apolo en Delfos nos da la clave. Es preciso tener muy claro cuáles son los activos y procesos críticos en nuestra organización o a nivel individual, quien y cómo los maneja y donde los almacenamos, (datos, información  almacenada en ordenadores, teléfonos, en la nube, en proveedores, en las redes sociales). Hay que tener muy en claro también que vulnerabilidades,  amenazas y riesgos es más probable que se materialicen e impacten en la organización.

Implementar la estrategia de defensa

Solo a partir de este punto se podrá implementar una estrategia de defensa adecuada y proporcionada a nuestros intereses. La atención estará puesta en uno de los aspectos más importantes: un costo adecuado y una rentabilidad que justifique la inversión en seguridad.

Nadie podrá dar por zanjado el tema de la seguridad. No nos podremos detener ahí. Será preciso empezar entonces el control continuo de las medidas de seguridad implementadas. Se recopilará de manera permanente la información para que los expertos analicen incidentes y cambios de patrones,  que serán el punto de partida para la revisión y readaptación de las medidas de seguridad implementadas en un ciclo sin fin.

Si se pretende afrontar la problemática con garantías de éxito desde unas organizaciones y empresas, que cada vez adquieren un grado de complejidad,  dependencia tecnológica, movilidad e interacción mayor, se deberá considerar la implementación sistemática de  las Metodologías de Gestión de la Seguridad que mejor se nos adapten. El análisis de los riesgos, y su impacto, el "conocernos" a fondo, seguido por la definición de políticas que hagan público y patente en la organización  como queremos utilizar los recursos y que debemos hacer para protegerlos, nos llevará a la elaboración del Plan de Seguridad que detallará las herramientas y tecnologías que usaremos en estructurar nuestra defensa.

Todo ello sobre la base de repartir responsabilidades, sea a nivel interno o externo, y apoyándonos en la formación en seguridad para todos los miembros de la organización como uno de los pilares básicos de la estructura de seguridad. Al final, el eslabón más débil de la cadena, el flanco más fácil de atacar, son las personas.

Auspicios