Las noticias, muchas veces, pueden sonar abrumadoras: ataques a escala global, nuevas técnicas (Advanced Persistent Threats), fraudes en aumento, ingeniería social, robos de identidad, redes botnets y ataques distribuidos, amenazas para smartphones… en fin, hay tantas cosas allá afuera que es difícil decidir por dónde empezar.
Más aún, el hecho de que haya tanto de qué protegerse, tiene el efecto de generar una sensación de desazón anticipada, ante la cual muchos directores de tecnología y seguridad sienten que es imposible estar protegido ante todo, entonces, la mejor opción es sencillamente no hacer nada y no malgastar recursos inútilmente.
Si a esto le sumamos que cualquier medida de protección nos llevará necesariamente a invertir tiempo y dinero (casualmente los dos tipos de recursos que nunca sobran), se está preparado el terreno para que los incidentes sigan creciendo sin control.
Sin embargo, más allá de plantear una posición existencial de acuerdo o desacuerdo con esta situación, y lejos de pretender dramatizar aún más una situación que de por sí es bastante preocupante, es importante plantear que existen medidas mínimas que cualquier organización debería poner en funcionamiento para aspirar a conseguir al menos un grado básico de seguridad.
¿Cuál es el mínimo y cómo conseguirlo? Sería muy fácil decir, por ejemplo, que el mínimo al que una empresa debe aspirar para gestionar la seguridad de su información es implementar al 100% la norma ISO 27001. Pero conseguir eso es muy difícil y puede llevar desde varios meses a un par de años. Y aún así, la realidad es que muchas empresas están lejos de poder plantearse semejante desafío, incluso si es verdad que la norma debería ser un estándar para construir un modelo de gestión adaptado a las necesidades particulares de cada organización, y complementarlo con otras normas y regulaciones.
A continuación, presentamos cinco puntos clave en seguridad de la información, para cualquier organización.
1. Gestión del riesgo: es la clave de la proactividad: a menos que uno quiera pasarse la vida corriendo detrás de los problemas, es necesario implementar mecanismos que permitan anticiparse a lo que pueda ocurrir.
Ningún sistema de gestión del riesgo será infalible ni preverá absolutamente todo lo que pudiera ocurrir. Pero la preparación que implica reconocer los riesgos, y tratarlos, genera una cultura organizacional que aumenta la resiliencia de las personas y los procesos, incluso ante eventos no previstos.
Operativamente, el análisis de riesgos es lo mínimo que una organización debería realizar y mantener actualizado de forma cíclica y permanente, ya que es la base para tomar decisiones, y llegar a actuar preventiva y proactivamente.
Si, además, este análisis de riesgo es cuantitativo y no solamente cualitativo (es decir, si expresa los riesgos en función de su potencial impacto económico), estamos hablando de una herramienta muy valiosa para toda la organización, más allá de las fronteras de los departamentos de TI y seguridad.
2. Formación: el concepto de formación (bien conocido para todos los que alguna vez han trabajado con normas ISO y, claro, para todos los que se dedican a la formación profesional), incluye los aspectos de capacitación y concientización, necesarios para el correcto desarrollo de las funciones de cada empleado.
La idea en este punto, es asegurar que los empleados realmente cuenten con las habilidades mínimas, que además de cumplir con su tarea del día a día, le garanticen a la empresa que estas actividades no implicarán riesgos significativos.
Un programa de formación requiere de la participación activa del departamento de Recursos Humanos, en conjunto con las gerencias de Tecnología y Seguridad de la Información, para definir el plan específico a implementar en cada área de la organización.
Las dos mayores exigencias de estos programas son, en primer lugar, conseguir los recursos económicos necesarios y asegurar su asignación en el momento adecuado. En segundo lugar, desarrollar creativamente las metodologías que permitan garantizar efectividad, a través del compromiso de los trabajadores.
3. Seguridad interna: probablemente, el tema menos abordado en el mercado sea la integración de mecanismos de seguridad al interior de las empresas. Instalar un antivirus en los computadores está muy bien, pero a la vez está lejos de ser suficiente.
Son muy pocos los casos en que existen sistemas de detección de intrusos protegiendo el acceso a sus servidores críticos (bases de datos, sistemas ERP y CRM, etc.), desde el interior de la organización (“la red interna”), y esto es solamente un ejemplo.
Esto debería surgir en cualquier análisis de riesgos como prioridad, y empezamos a ver cómo estas recomendaciones se entrelazan y complementan, y hasta qué punto la seguridad de la información debe ser abordada de forma sistémica.
4. Nuevas tecnologías de control: es hora de decir que los mecanismos de detección, con los que cuentan actualmente la mayoría de las organizaciones, son incapaces de identificar y prevenir muchos de los ataques.
Quizás un ejemplo paradigmático sea el concepto de SIEM (Security & Information Event Management):. Hace 2 años presentamos este concepto bajo el nombre de “Seguridad Inteligente”, y desde ese momento, hasta el día de hoy, ha crecido significativamente la oferta de herramientas que lo soportan. Pero la demanda se mantiene estable entre la indiferencia y la timidez.
Estamos acostumbrados a tratar la detección de amenazas por “silos” (de forma aislada), recibiendo en unas consolas los eventos de servidores; en otra, los dispositivos de seguridad; y así siguiendo con los dispositivos de networking y demás componentes de las redes modernas, sin contar tampoco con mecanismos de integración de los resultados de análisis de vulnerabilidades y test de penetración
Esto es exactamente lo que más conviene a los hackers que utilizan las técnicas de ataque más modernas. Necesitamos incorporar, gradualmente, nuevas tecnologías que integren la detección de amenazas en tiempo real, con los análisis de riesgo preventivos que permitan actuar a tiempo, incluso ante las técnicas de ataque más novedosas.
5. Foco en la información: para terminar con esta serie de recomendaciones, es fundamental conservar el foco en lo que deseamos proteger: la información.
Muchos especialistas recomiendan implementar algún tipo de última línea de defensa en caso de que todo lo anterior falle, algo así como la última barrera, el último recurso para tratar de mitigar el riesgo aún en las peores situaciones.
Si bien cabe analizar en cada caso particular (y con la ayuda de especialistas), qué medidas es conveniente aplicar, cuáles son las ventajas y los riesgos que cada una implica, quizás un paradigma de este enfoque sea la encriptación de datos.
Aunque un atacante llegue a franquear todas las barreras de seguridad y logre hacerse de los datos, el hecho de que éstos se encuentren encriptados podría hacer que esos datos resulten prácticamente inservibles. Esto sirve solamente como último recurso, pero es un buen ejemplo de lo que significa no perder el foco.
Es importante aclarar que muchas veces no es necesario disponer de medidas tecnológicas, sino que también implementar controles a nivel de procesos. Por ejemplo, cuando las transacciones que impliquen montos superiores a determinados límites requieren de una aprobación firmada por escrito; aún si un atacante lograra generar una solicitud válida, habría un último eslabón en la cadena de aprobación que impediría la concreción efectiva del ataque.
