El exponencial aumento de las ciberamenazas y su sofisticación, en un mundo cada vez más interconectado, obliga a las organizaciones a adaptarse con rapidez para proteger en tiempo real sus activos más importantes: su información crítica y su reputación. Los profesionales de TI se sienten a menudo librando una batalla que parece perdida. El éxito está en perseverar.
Vulnerabilidades, exploits, malware, ransonware, phishing… los malos tienen a su disposición infinidad de herramientas, tiempo y a veces hasta recursos para conseguir sus objetivos. Mientras que los profesionales TI de las organizaciones tienen que lidiar con presupuestos ajustados y tiempo escaso.
No importa cuán segura creamos nuestra organización, las noticias de ataques exitosos se suceden y nos impiden bajar la guardia. Mientras, el trabajo diario no cesa y debemos seguir manteniendo los servicios que dan soporte al negocio, abordando nuevos proyectos que mejoren nuestra competitividad y ayuden en la estrategia de la organización.
En este escenario vertiginoso, ¿Qué prioridad damos a la seguridad? Podemos tener la tentación de abandonarnos a la suerte y confiar en que las medidas razonables habituales serán suficientes para no ser el siguiente ataque exitoso. O bien entender que la seguridad no es una opción, sino una necesidad para la supervivencia de la organización.
Debemos establecer la seguridad desde el diseño, plantearla con cada nuevo proyecto que se aborde, ponernos en la piel del atacante y pensar en las debilidades de nuestros sistemas, formar y concienciar a los usuarios, clientes y proveedores. En definitiva, entender la importancia de establecer una seguridad real en todos los procesos del negocio, especialmente en los más críticos que lo sustentan.
Es una equivocación pensar que la seguridad solo puede conseguirse con tecnologías novedosas, caras y complejas. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología». Los mayores beneficios vienen del conocimiento del negocio, de sus procesos y personas.
Debemos comenzar por revisar los procedimientos existentes para hacerlos más robustos y seguros: altas, bajas y modificaciones de usuarios y permisos, gestión de roles, control de accesos, gestión de cambios, gestión de activos…
Establecer políticas corporativas homogéneas en todos los sistemas: política de contraseñas, clasificación de la información, cifrado de datos, política de backup, gestión de parches y vulnerabilidades, software y hardware autorizado, permisos mínimos…
Naturalmente deberemos utilizar tecnologías de seguridad de contrastada eficacia, nadie gana una guerra sin armas. Pero sobre todo debemos conocerlas bien y configurarlas adecuadamente para sacarlas el máximo partido: antivirus, antispam, firewalls, IDS, filtrado web, VPN.
Y debemos entender que los mayores esfuerzos deben centrarse en proteger los activos críticos más importantes del negocio. La seguridad debe estar alineada con el negocio para ayudarle a conseguir sus objetivos. No debe ser una molestia sin beneficio alguno, la seguridad como un fin, sino como un medio para conseguir los objetivos estratégicos de la organización.
La implantación de un sistema de gestión de la seguridad de la información (SGSI), o su versión para la industria (SGCI), son un ejercicio complejo pero necesario para cualquier organización que quiera abordar la seguridad de una forma sistemática y metódica. Los estándares existentes, como la ISO27001, pueden servir de guía en el proceso, incluso cuando no busquemos certificarnos.
El mayor activo para la seguridad son los profesionales de TI cercanos al negocio y a sus necesidades. Ayudarán a encontrar las debilidades en los sistemas y procesos críticos, priorizarán los esfuerzos por su beneficio, y encontrarán soluciones simples a problemas complejos.
En este nuevo escenario de la ciberseguridad, debemos estar abiertos a nuevas tecnologías como la inteligencia artificial y el machine learning, que vienen en nuestra ayuda. No son sin duda la solución mágica a nuestros problemas, pero con el exponencial aumento de datos y sistemas, y la escasez de expertos en ciberseguridad, parecen el único remedio.
Estas tecnologías ya funcionan, y sin duda serán imprescindibles en el futuro para realizar gran parte del trabajo automatizable.
Jose Ángel Gómez
CISO Semantic Systems
