Seguridad informática en las empresas: ¿hasta qué punto protegerse?

Laptop-padlock2

Recientemente, leí un interesante artículo titulado, Paradoja del mundo informático: los riesgos de estar seguros. El post plantea el dilema que enfrentan muchas empresas cuando desean mejorar su nivel de seguridad y no tienen certeza sobre hasta qué punto o grado de seguridad se puede obtener o cuánto es suficiente para estar protegido sin que ello termine aislando a la empresa de la comunidad de la que desea formar parte. Por lo tanto y de acuerdo al perfil que la organización tenga en línea ( vamos, no es lo mismo tener un sitio de e-comerce donde los usuarios deben entregar datos como los de su tarjeta de crédito, que un lugar destinado al entretenimiento o información) , la clave entonces se encuentra en la capacidad de  administración de riesgos por parte de la empresa, es decir que “los riesgos de seguridad deberán disminuirse hasta un umbral tolerable para el negocio. Pero ¿qué es lo óptimo?

En el ámbito de la seguridad, lo único seguro es que no hay nada seguro. Por tanto para preguntas como ¿Qué grado de seguridad se puede obtener? ó ¿hasta qué punto protegerse? La respuesta clara es que no existe un punto o grado en sí mismo, ya que aquello que pareciera no tener mayor impacto en la empresa en caso de ser comprometido, en realidad podría convertirse en una brecha de vulnerabilidad crítica que afecte a todo el sistema, a toda la organización y lo que en principio podría ser sustentado por el negocio (en cuanto a perdida de dinero), posiblemente ya no lo sea tanto. Esto se debe a que el mundo de la seguridad informática y de la información es un medio que se auto inventa constantemente.

Entre los incidentes más comunes y que son noticia diaria se encuentran: fraudes electrónicos, phishing en banca online, paradas en comunicaciones, infecciones de malwarefugas de información o infiltraciones no deseadas de datos confidenciales y personales entre otros.

Un ejemplo de ello, es la infiltración de los cables diplomáticos en Wikileaks, donde un militar estadounidense, Dradley Manning, tuvo acceso a la red SIPRNET (la red secreta de E.E.U.U de donde provienen los documentos filtrados). Manning, en una conversación via chat, le confiesa al ex hacker Adrian Lamo que había entregado a Wikileaks unos 260.000 informes y cables del Departamento de estado y de las embajadas (Entraba en la sala de informática con un CD regrabable de música que decía algo como ‘Lady Gaga’, borraba la música y grababa los archivos). ¿ Será razonable que en un entorno de información tan confidencial, no se tenga control sobre lo que se debe copiar o no en elementos como CD’S y dispositivos USB ? Otro caso reciente, se trata de la intrusión que sufrió Mark Zuckenberg en su cuenta de Facebook, por parte de un pirata informático que colgó un mensaje en el que supuestamente el creador de Facebook, apoyaba la iniciativa de que su multimillonaria compañía se convierta en una “empresa social” y se comprometa a invertir sus beneficios en causas benéficas.

No se debe olvidar que la mayoría de fallos de seguridad, son ocasionados muchas veces por la percepción errónea de que si la seguridad física, por ejemplo, está razonablemente garantizada, entonces no tienen por qué haber mayores problemas para la compañía o que protegiendo únicamente las aplicaciones y las bases de datos, ya se tiene garantizada la continuidad del negocio. Bajo estas consideraciones, se dejan desprotegidas muchas áreas de la compañía y muchos activos de información pueden verse fácilmente perjudicados, debido a que se omiten aspectos humanos y de gestión, que resultan indispensables para la seguridad.

Los incidentes de seguridad por muy simples que parezcan, pueden convertirse en problemas económicamente graves. Desde un simple virus a una fuga de datos interna hacia la competencia, o una catástrofe como un terremoto o incendio, traen consigo un costo que hay que valorar: paradas de producción, activos destruidos o perdidos, sanciones administrativas, entre otros. Además los costos indirectos podrían incluso ser  mucho más agravantes como la pérdidas de clientes o la pérdida de reputación de la empresa, entre muchas otras problemáticas.

En consecuencia, independiente de su sector económico o tamaño, la seguridad debe formar parte del presupuesto de toda organización, ya que la información es un bien de valor y por lo tanto debe ser protegido. Sin embargo, la decisión de invertir en seguridad, no puede estar sujeta sobre cuánta suma de dinero está dispuesta a gastar la empresa (para practicar soluciones en caso de incidentes), sino que debe enfocarse en la asignación de recursos para la prevención ya que en el largo plazo, los costos de prevenir un incidente de seguridad son menores que los costos de la solución, obteniendo como resultado una disminución significativa de los riesgos. Recordemos que “el mejor incidente es aquel  que no ocurre“, por lo que las medidas de seguridad en una empresa deben estar preparadas para la prevención y NO, para admitir la posibilidad de pérdida de dinero ante una circunstancia desafortunada.

No obstante, la pregunta es: ¿Cómo minimizar los riesgos? Muchos podrían pensar que el secreto esta en contar con soluciones o herramientas optimas de seguridad (Antivirus, Firewalls, Software de prevención de fuga de datos, etc). Sin embargo, aunque esto es necesario, la realidad demuestra que con solo las herramientas no es suficiente, ya que como hemos dicho, se omiten aspectos inpresindibles para la seguridad de un negocio. Es por ello que independientemente del perfil que tenga la organización en línea (social media, e-commerce, etc), así como del tipo o tamaño de empresa, es posible minimizar en gran medida los riesgos de seguridad gracias a la combinación de tres elementos claves: La tecnología, La Educación y La Gestión.

La tecnología, pues herramientas como un software Antivirus o un Firewall, entre otros, ayudan a proteger la información sobre todo de los riesgos asociados a vulnerabilidades en el sistema, entre muchos otros factores.

La educación, porque por muy avanzada que sea la tecnología, esta por si misma no podrá por ejemplo, contrarrestar un ataque que se aproveche del factor humano (Ingeniería Social) para comprometer el sistema; por lo que educar y mantener informado a los usuarios sobre cómo hacer frente a las amenazas, así como concienciar sobre el buen uso de los recursos, siempre será vital.

La gestión, pues toda compañía debe contar con políticas claras, bien definidas sobre como debe usarse los recursos de la compañia sean o no informáticos. Además la gestión permite establecer controles y medidas organizativas que produzcan un aseguramiento eficiente de los datos, así como también, administrar y evaluar los riesgos a los que el negocio esta expuesto.

Dado que no existe seguridad absoluta, está claro entonces que el propósito fundamental, se centra en implementar acciones preventivas, para mitigar los riesgos asociados a las amenazas que puedan comprometer la integridad, confidencialidad y disponibilidad de los activos de información (seguridad de la información), así como también de los peligros a los que se exponen la infraestructuras TIC que soporta la empresa (seguridad informática), para alcanzar los objetivos de negocio de la organización.

Acerca del autor

Hans Steffens

Ingeniero industrial, Coordinador IT. Co-fundador de Permalink, Consultor de Soluciones de seguridad informática, Blogger en tecnología, Amante del Blogging. Enamorado de WordPress, Actualmente Consultor WordPress en Socialatom Group Sígueme @hanscode