Herramientas – políticas = falsa seguridad (DISI 2010)

Imagen: ENTER.CO (con Wordle).
Comprar las mejores soluciones contra los riesgos de seguridad y el cibercrimen es importante. Pero cuidado: adopte unas políticas claras para no caer en una sensación de falsa seguridad.
Protegerse con muchas herramientas no es suficiente si no hay unas políticas claras de seguridad. Imagen: ENTER.CO (con Wordle).

Manejar la seguridad informática de una organización, se trate de una empresa unipersonal o de una gran multinacional, puede ser tan difícil como tratar de montar un equipo de fútbol campeón: usted puede gastar millones en futbolistas de talla mundial, apoyarlos con los mejores médicos y preparadores físicos, brindarles los mejores uniformes y permitir que entrenen en canchas que parecen una alfombra, y aun así, no está exento de que cada una de las estrellas quiera sobresalir y decida ‘lucirse’ a sí misma en perjuicio del equipo, o que su técnico no las pueda aprovechar y tarde o temprano quede eliminado.

En la empresa –y también en el hogar y en los equipos de uso personal–, usted puede comprar e instalar el arsenal más poderoso de herramientas de seguridad que su bolsillo le permita. Así, puede detectar intrusos, controlar qué información entra y sale de la red, o conectar la red local vía Internet por medio de una red privada virtual (VPN). Y, como el directivo del equipo deportivo, también podría ver cómo sus ‘galácticos’ reciben una paliza, por ejemplo de piratas informáticos, de niñitos aprendices de hacker y hasta de ex empleados resentidos, trabajadores inconformes o vecinos incómodos.

En el campo de la seguridad informática hay algo que hace la diferencia entre un fracasado grupo de estrellas y un verdadero equipo campeón: las políticas de seguridad. “Una política de seguridad es una declaración de intenciones respecto a la seguridad de los recursos informáticas, que sienta las bases para determinar las obligaciones y responsabilidades de los usuarios respecto al uso de las tecnologías”, explica Sebastián Bortnik, analista de seguridad de ESET para Latinoamérica.

Se trata de las reglas y procedimientos que regulan la forma como una organización previene y enfrenta los riesgos informáticos (sobre los equipos de cómputo y sus periféricos, el software y el activo más importante, la información).

Las organizaciones que manejan información crítica, como las fuerzas militares, los bancos, las empresas de telecomunicaciones y algunas entidades gubernamentales, ya son desde hace años conscientes de la importancia de estas políticas, pero gran parte de las pymes cree que lo más importante son las herramientas, y que lo demás es secundario.

Según el II Barómetro Internacional de Seguridad en Pymes (PDF), de la firma española Panda Security, 35% de las pequeñas y medianas empresas carece de políticas de seguridad, una cifra que sin duda es mucho mayor en microempresas y en el plano personal y familiar.

Andrés Valcárcel, gerente de Frontech, representante de ESET en Colombia, señala que “las empresas no sólo deben adquirir las mejores herramientas y soluciones de seguridad, sino que deben implementar políticas de seguridad integrales, que incrementen los niveles de protección y permitan una mayor efectividad de estas herramientas”.

Valcárcel agrega que en las pymes y en microempresas todavía falta conciencia de la importancia de la seguridad, y que cualquier esfuerzo de comercialización debe iniciar con educación y, en lo posible, con brindarle algunas pautas de políticas de seguridad a los clientes potenciales.

La falta de políticas, combinada con la implementación de algunas herramientas, hace que las empresas vivan una sensación de falsa seguridad, estimulada a su vez por proveedores que se limitan a vender productos y no a ofrecer verdadera protección. “Se estima que en las empresas medianas y pequeñas, cerca del 70 por ciento de las instalaciones de seguridad (antivirus y firewalls, por ejemplo) no tienen actualizaciones, lo que significa que los niveles de protección son muy bajos, pero las empresas creen que están protegidas. Por ello, es muy importante que los usuarios tengan como una de sus principales políticas actualizar permanentemente estas soluciones, así como los sistemas operativos y el resto del software”, agrega Andrés Valcárcel.

¿Qué son y cómo desarrollarlas?

Estas políticas no deberían ser opcionales. No tener una estrategia de seguridad ya no es una opción. Estos son los pasos básicos para que cualquier organización –e incluso una persona natural– desarrolle sus propias políticas de seguridad:

  • Identifique los activos. Si no sabe qué tiene, ¿cómo puede protegerlo? Valore cada activo (incluso los intangibles) y establezca los niveles de protección para cada uno.
  • Identifique las amenazas. ¿Cuáles pueden ser las causas de los problemas de seguridad? Pueden ser amenazas externas (virus, spam, gusanos, incursión de intrusos y ataques de piratas informáticos, espionaje industrial) e internas (‘venganzas’ de ex empleados o familiares, uso indebido de Internet y los sistemas informáticos, entre otras).
  • Mida los riesgos. ¿Qué tan probable es que sucedan ciertos hechos puntuales, y cuánto daño pueden causar? Al calcular los daños en cifras, no solo se debe tener en cuenta el valor de los equipos o las aplicaciones, sino el de la información y otros intangibles, que en el caso de una empresa pueden ser mucho mayores.
  • Arme un equipo de trabajo. A los líderes del área de sistemas y los expertos en seguridad informática –o al personal de su proveedor– súmeles un asesor jurídico, alguien del área de comunicación y de recursos humanos, y busque un representante por cada área de la organización que se encargue de ayudar a identificar las amenazas.
  • Ahora sí, establezca las políticas. Con base en la información recolectada, se pueden redactar los procedimientos y normas. El resultado debe ser un documento conciso, fácil de entender por parte de los empleados, y que no se vaya al extremo de bloquear la productividad en aras de la seguridad. De acuerdo con los niveles de riesgos, las políticas deberán ser proactivas o reactivas. Para definirlas, existen guías y ejemplos que los proveedores de soluciones podrán darle, o en la Web existen pautas y presentaciones en línea útiles para hacerlo.
  • Impleméntelas. Establezca los responsables de la difusión y el cumplimiento de las nuevas pautas, y señale los procedimientos para controlar que esto se cumpla. Ajuste las soluciones de seguridad informática a las nuevas políticas.
  • Manténgalas al día. Las amenazas de seguridad son cambiantes, y cambiante es la infraestructura tecnológica de las empresas, por lo que las políticas de seguridad, por muy bien hechas que estén, no deben ser estáticas. Las políticas deben ser sólidas, estrictas, pero a la vez flexibles, para que se adapten a las nuevas tecnologías.
  • La seguridad no es enemiga de la productividad. Hasta hace algún tiempo, las políticas y herramientas de seguridad peleaban con la productividad de las empresas, pues, por ejemplo, para evitar ataques de intrusos se bloqueaban puertos en la red que se necesitaban para enviar cierta información, y acceder a los servicios era un dolor de cabeza. Antes, los dos conceptos eran antagónicos, pero hoy se debe pensar en implementar seguridad con inteligencia y con plataformas integradas, para que esta, en lugar de frenar la productividad, la soporte”.

Algunas políticas recomendadas.

Un buen punto de partida, en especial para usuarios personales y familias, es aplicar los 10 mandamientos para elevar los niveles de seguridad.

Los siguientes lineamientos están concebidos para empresas y organizaciones de todos los tamaños, pero pueden ser adaptados a una familia, un colegio o una persona:

  • Toda empresa debe tener un responsable de la seguridad de la información.
  • Toda la información de la compañía debe ser confidencial.
  • Todos los recursos son para uso exclusivo en el trabajo asignado, no para asuntos personales.
  • Todo el software instalado debe estar debidamente licenciado.
  • Todo documento que no se requiera debe ser debidamente archivado o destruido.
  • El acceso a la información, en archivos físicos o electrónicos, debe restringirse exclusivamente a los trabajadores que la necesitan.
  • Se deben definir los procesos para recuperación de desastres.
  • Se debe establecer un esquema de clasificación e identificación de la información para controlar su integridad, confidencialidad y disponibilidad.
Mauricio Jaramillo Marín

Mauricio Jaramillo Marín

En los últimos 14 años he cubierto y vivido las transformaciones que la tecnología e Internet han traído a nuestra vida cotidiana y a campos tan importantes como la educación, la cultura, el entretenimiento, la salud, la economía y la productividad empresarial. La tecnología, pues, ya cambió el mundo, y lo seguirá haciendo. Pero depende de nosotros –los periodistas y difusores de esta información, así como los usuarios intermedios y avanzados– que nuestras sociedades la aprovechen al máximo.
Por eso, soy un apasionado de la tecnología, de probar software, hardware y servicios web, pero también de ayudar a que más personas le saquen provecho, ya sea dando talleres por Latinoamérica sobre Internet o tecnología aplicada en diferentes campos, o generando contenidos que aporten a un mejor entendimiento de estos temas.
Todo esto hace que me ilusione ENTER.CO: porque lo veo como un canal no solo para informar y entretener, sino también para educar y motivar a más colombianos y latinoamericanos a que se interesen y aprovechen mejor las herramientas que ya tienen a su alcance, y así, para que estas realmente les ayuden a mejorar sus vidas.

View all posts

5 comments

Archivos