La gran mayoría de los que leemos los artículos de CIO México hacemos inversiones diversas en seguridad ya sea desde next generation firewalls, detectores de intrusos, antivirus, antispyware, web filtering o prevención de perdida de datos. Asimismo, muchos fundamentamos la metodología en ISO 27000, aunque no necesariamente se obtenga el certificado para la entidad. Sin embargo, la piedra angular de una arquitectura de seguridad son los usuarios; es a ellos donde debes enfocar el inicio de tu estrategia.
Cómo empezar
Sin escatimar esfuerzos de tu parte, debes elaborar boletines, comunicados, videos, organizar conferencias donde se les explique con claridad a los usuarios cómo deben cuidarse y prevenir; sensibilizarlos a actualizar el sistema operativo de los dispositivos que usan; actualizar el antivirus y escanear computadoras; no dar click a ligas ni imágenes que lleguen de emails de desconocidos, rifas, herencias, CFE, SAT y supuestos bancos.
Uno de los objetivos de los hackers es encontrar a incautos quienes, a través de smishing, phishing, portales falsos y demás, empiecen a dar información como su nombre de usuario, clave de acceso, datos personales, etc. Por eso es tan importante capacitar y concientizar a toda persona que utilice una computadora en tu entidad.
Dicho programa debe ser periódico y es necesario asegurarte que tus usuarios no se “inmunicen” a esta clase de comunicados.
Por supuesto, el factor humano sigue siendo importante, pero ahora es el personal del área de IT, y no sólo el especialista en Seguridad, quienes muchas veces son los primeros en saltarse las reglas y quienes –por la naturaleza de su trabajo– tienen privilegios a bases de datos, servidores, routers, etc. Debes tener claro que tu personal debe tener complejas claves de acceso, cambiarlas una vez al mes, respaldar su trabajo, y seguir los procedimientos y políticas al pie de la letra.
Además, debes tener al menos una persona de tu staff 100% dedicada únicamente a Seguridad, a la cual debes capacitar, certificar, facultar y empoderar para que proteja la entidad con todos sus conocimientos y recursos a su alcance.
Luego sigue la elaboración de tus políticas, procesos y procedimientos relacionados con la seguridad. Aquí –“sin inventar el hilo negro”– hay tres marcos sobre los cuales te debes fundamentar: COBIT, ITIL e ISO27000: cada entidad es diferente y, al igual que un traje sastre, debe estar hecho a la medida.
Asimismo, la normatividad –sin crear una camisa de fuerza– la debes adaptar, formalizar y ser autorizada por el Director General o Presidente de tu organización para hacerla pública en tu intranet. Asegúrate que todos los empleados la conozcan y sepan dónde están los documentos para consulta. Al menos una vez al año debes revisarla para realizar actualizaciones
Hasta aquí nada de lo anterior requiere OPEX ni CAPEX: ya armaste parte de tu administración del riesgo, benchmarking y su lado regulatorio; ahora entraremos en el tema de la Arquitectura de Seguridad la cual constituye sólo una parte de la Arquitectura Empresarial, pero eso es tema de otro artículo.
Predecir, prevenir, detectar y responder
Tu Arquitectura debe partir de la base que serás atacado, por lo cual debes predecir las agresiones más típicas contra redes, infraestructura e información y contar con un plan de respuesta a dichos incidentes el cual deberá abarcar aspectos legales, de comunicación y técnicos.
El siguiente paso es prevenir pérdidas de información por ataques internos y/o externos. Aquí deberás armar tu plan de recuperación en caso de desastres y tu plan de continuidad de negocios para garantizar que, a pesar de que fallen componentes de tu plataforma, la entidad siga operando por medios que podrían ser hasta manuales.
Posteriormente viene la detección. En esta etapa deberás contener el ataque que ya identificaste, todo bajo un orden de prioridades donde tu principal activo es el dato y debes asegurarlo. Finalmente, tras la tormenta viene la respuesta, esto es, remediar cuanto antes el daño. En efecto, no te puedes quedar de brazos cruzados: hay que investigar de dónde vino el ataque, cómo fue que penetró; debes involucrar a la policía cibernética y, si cuentas con presupuesto, contratar un despacho de cómputo forense que tenga la experiencia y el conocimiento comprobado para ayudarte a descubrir qué fue lo que sucedió.
Lamentablemente la cantidad de ataques van a la alza y su sofisticación, persistencia, peligrosidad y pérdidas generadas crecen como la espuma. Estos son los principales aspectos de una arquitectura de seguridad eficiente. ¡Éxito!
