La clave para integrar una estrategia de seguridad integral por orden de importancia debe empezar con las personas, seguido de los procesos, procedimientos y políticas, para seguir con actualización, así cómo capacitación y por supuesto la inversión en servicios, software, hardware y humanware.
El eslabón más débil de la cadena de seguridad siempre será el usuario, por lo que establecer una cultura de seguridad dentro de la compañía o institución es fundamental. La sensibilización y la excelente comunicación con todos los usuarios es vital.
Acto seguido está el marco normativo y aquí no hay que inventar el hilo negro. Mi consejo es que adoptes ISO 27001 y COBIT para documentar tus procesos, procedimientos, formatos, políticas y demás de normatividad fundamentada en las mejores prácticas a nivel internacional, independientemente de si te certificas o no.
La siguiente clave es la selección correcta de tus proveedores con personal capacitado, certificado y experimentado, así como tecnología que te permita proteger a tus usuarios, activos de información e infraestructura.
Debes armar tu proceso en caso de contingencia partiendo de la base que serás atacado y saber cómo reaccionar con tus usuarios; comunicarte de manera oportuna; contar con un plan jurídico, pero sobre todo, respaldar la información y los sistemas torales de tu empresa o institución.
Nadie puede defenderse por sí solo. Las dependencias de gobierno más sofisticadas del primer mundo han sucumbido a fallas de seguridad, filtraciones y ataques. Con certeza la gente más capaz en el rubro de seguridad está en la iniciativa privada en diferentes empresas que se dedican a seguridad. En la institución donde estoy a cargo de la seguridad, se tienen 19 distintos proveedores de servicios: desde pruebas de penetración, auditorías, integradores de software, vendedores de hardware, empresas de capacitación y, como rubro aparte, están las empresas dedicadas a machine learning e inteligencia artificial.
Dos bases para el futuro
El fundamento de seguridad de hoy al año 2020 consiste en dos pilares: el primero es tener visibilidad de todo lo que ocurre en tus redes e infraestructura de voz y datos; el segundo es tu capacidad de reacción ante la contingencia de haber sido comprometido. En México menos del 5% de las empresas tienen personal dedicado a seguridad y sólo el 6% invierte más del 10% de su presupuesto de operación o inversión en seguridad. Menos de un 10% de las entidades de gobierno, instituciones y empresas de grandes a medianas cuentan con un plan de recuperación en caso de desastres.
Los ataques al buró de crédito y las vulneraciones a la intimidad de los millones de usuarios de redes sociales, entre otros muchos, afectan a los empleados de esas empresas y, colateralmente, afectan a las empresas dónde laboran.
El aumento de casi 8,500% del cryptojacking para minar monedas digitales a través de computadoras secuestradas, según estimaciones de Symantec, y el ataque a 18,000 plantas petroleras y nucleares alrededor del mundo colocan en una situación delicada a todas las empresas y dependencias gubernamentales.
Desafortunadamente la seguridad actual depende en un 90% del CIO o CTO de empresas donde estos altos ejecutivos no le están dando la prioridad que merita tan grave y profundo problema.
Un dato para rematar este último punto es el informe anual de ciberseguridad de Cisco dónde se confirma una mayor sofisticación y complejidad de los ataques que son cada vez más inteligentes y complejos.
Muchos altos ejecutivos no seguirán en sus compañías para el año 2020 debido a que no han dimensionado el problema correctamente o bien no tienen armada aún una arquitectura de seguridad.
La estrategia debe abarcar la infraestructura de software y hardware de las redes, data center y nodos anexos. Por supuesto que también debe contemplar al personal y usuarios, e iniciar un plan estratégico de seguridad con los siguientes elementos:
- Infraestructura de Seguridad perimetral y de host.
- Administración de activos.
- Administración de identidades.
- Evaluación de riesgos.
- Cultura de la seguridad.
- Administración de la disponibilidad, integridad y confidencialidad de la Información.
Como recomendación final, te dejo esta reflexión que debes tener en tu mente y definir:
- ¿Qué me interesa poder ver?
- ¿Cómo organizar lo que estoy viendo?
- ¿Cómo obtener valor de lo que veo?
- ¿Cuento con los Recursos para poder explotar esa información?
