Acerca de la seguridad tecnologica en las empresas

Por: Claudio Godio, profesor licenciado de la carrera Ingeniería en Informática - UADE. " La seguridad absoluta no existe, pero está en nuestras manos tomar medidas".

Por: Claudio Godio, profesor licenciado de la carrera Ingeniería en Informática - UADE.

Vivimos en una era donde una de las áreas claves para la organización es el área de IT. No importa si la organización es de tipo financiera, educativa, tecnológica, alimenticia, etc. Siempre se apoya en el área de tecnología, de modo que cualquier incidente sobre la misma repercute sobre las demás áreas generando un impacto económico que no podemos dejar de considerar al momento de evaluar riesgos.

Si bien existen varios puntos fundamentales que el área IT debe tener en cuenta, vamos a detenernos en los aspectos de seguridad y trataremos de ver el impacto que cada uno de ellos tiene. Debemos partir de la premisa que la seguridad absoluta no existe, y si existiese, el coste sería inabordable. Es por ello que el plan de seguridad que desarrollemos debe ser correctamente mesurado a fin de llegar a plantear una solución robusta pero accesible.

Hay que tener en cuenta el tipo de organización al momento de comenzar a desarrollar el plan de seguridad. No es lo mismo hacer un plan de seguridad para un hospital que para una fábrica de productos alimenticios, que para una de herbicidas y fertilizantes, ya que los riesgos a los que están expuestos son distintos como también sus consecuencias. Un error muy común es menospreciar la importancia de la empresa si hablamos de seguridad IT.

Esto ocurre generalmente cuando se trata de empresas pequeñas y medianas que por lo general tienden a pensar cosas como: “mi empresa es pequeña; a quién le puede importar mi información” y la verdad es que ese tipo de empresa suelen ser las que más desprotegidas se encuentran, y por ende un blanco fácil de personas inescrupulosas o bromistas malintencionados. Por lo general, la opinión reinante en estas organizaciones sobre las posibles amenazas es que nunca pasará nada y que las pocas medidas tomadas son más que suficientes. Ven a la seguridad como un gasto no como una inversión. Al descuidar la seguridad están dejando sin protección su agenda, sus mails, sus planes de negocios, su investigación, etc. Y lo que es peor, muchas veces ni siquiera se dan cuenta de que no vendrán a robarle la carpeta que tiene guardad en el escritorio, vendrán a través de la red, le copiaran el archivo y no se enterará siquiera que estuvieron.

Por lo tanto, deberíamos llevar a cabo un análisis de una serie de factores del área de IT y a continuación desarrollar una estrategia de seguridad que nos permita proteger nuestros activos. Como primera medida deberíamos analizar la empresa y determinar cuáles son las áreas y objetivos a proteger para asegurar la continuidad del negocio.

La siguiente tarea debería ser una evaluación del estado actual de la seguridad, es decir, saber de qué situación partimos para identificar las debilidades y fortalezas del sistema. En base a este análisis estaríamos en posibilidad de identificar las posibles amenazas según el tipo de negocio que se trate. Por último, deberíamos definir qué nivel de seguridad se desea, o lo que es lo mismo, cuál es el nivel de riesgo aceptable.

En base a estos puntos y en función de los recursos económicos con los que se cuenten, se podrá definir un plan de seguridad realista y que haga foco en los problemas más urgentes. En este punto no solo debemos evaluar cuánto nos cuesta una solución sino cuánto podemos llegar a perder si no nos protegemos.

Algo que debemos definir con total precisión es el alcance de la continuidad del negocio, es decir en cuánto tiempo debo recuperarme para poder seguir operando. Esto es fundamental ya que incide de manera importante en el costo de la solución. Cuanto menor sea el tiempo en que debo volver a estar operativo, mayores son los costos de la solución necesaria.

Otro punto a tener en cuenta son los aspectos legales que afectan a la información, la legislación vigente sobre protección de datos personales, operatoria financiera nacional e internacional, comercio electrónico, etc. Se hace necesario que se cumplan estas normativas de seguridad ya que las mismas tienen severas multas por su incumplimiento.

El plan de seguridad que diseñemos derivará en una serie de políticas de seguridad. Para asegurar su éxito se deberían tener en cuenta los siguientes puntos:

- Defina políticas claras: Las políticas se aplican a grupos heterogéneos de personas por lo que es muy importante que no existan ambigüedades que se presten a una la interpretación (consciente o inconscientemente). Es importante la capacitación y concientización de los empleados como también explicarles el objetivo de las políticas y (cuando corresponda) los riesgos que corren.

- Alcance: No solo es determinar quiénes son los afectados por la política sino también los límites en que la misma tiene vigencia.

- Evolución y Control: Es tan importante la elaboración del plan de seguridad, y por ende de las políticas derivadas, como también su monitoreo y revisión, a fin de mantener su vigencia, así como el seguimiento de su nivel de cumplimiento. Un ciclo de monitoreo y revisión constantes me producirá oportunidades de mejoras en las políticas y de poner en evidencia cualquier desvío que se produzca, tanto por factores internos como externos.

No hay que darle la espalda a los nuevos riesgos, hay que evaluarlos y tomar las acciones correctivas para minimizarlos. No se debe considerar que, porque esa tecnología no se utiliza en la empresa, no se está incluido en ese grupo de riesgo. Sus empleados tienen acceso a la tecnología y muchas veces antes que las empresas se encuentren preparadas para la neutralización de las amenazas que esos dispositivos representan.

Como dijimos antes, la seguridad absoluta no existe pero está en nuestras manos tomar medidas (no siempre a costa de grandes cantidades de dinero) que tiendan a minimizar los riesgos y preservar la imagen de nuestra organización.

Sin etiquetas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *