Es un hecho consumado que el número de ataques cibernéticos para robo de información, difamación, hackeo de portales institucionales hasta la usurpación de identidad irán a la alza en México.
Hay cifras de instituciones gubernamentales, así como diversas asociaciones mexicanas de la industria informática que detallan los millones de pesos que le han costado a empresas de todos los tamaños y dependencias de gobierno. Aquí, independientemente de los números, está el tema de la seguridad TI, que también va a la alza.
Hoy están desempleados varios ingenieros y directivos que eran responsables del área de sistemas y seguridad porque sus empresas fueron hackeadas y expuestas. Muchos de ellos tenían sendos contratos con proveedores de tecnología y mucho hardware supuestamente dedicado a la seguridad.
En varios casos el problema fue la reacción y la velocidad, es decir, los sistemas, servicios y bases de datos ya habían sido penetrados, la infraestructura estaba comprometida y muchas veces los responsables de seguridad ni siquiera se habían dado cuenta. Ahora con esta breve introducción lo que te puedo recomendar simplemente es:
1.- Al menos una persona de tu staff debe estar dedicada en cuerpo y alma al tema de la seguridad exclusivamente.
2.- Antes de comprar un firewall, packet filter, proxy, intrusion prevention system, data loss prevention software y un largo etcétera, contrata una compañía experta en seguridad para que primero te hagan un diagnóstico completo de tu infraestructura de red, servidores, sistemas operativos y end points.
3.- Desarrolla políticas y procesos de seguridad informática que obliguen a tus usuarios a cumplir con reglas de acceso a sistema y máquinas, hacer respaldos de la información, no caer en phishing, no dejar anotadas en post-it sus claves de acceso, ni poner claves obvias.
4.- Realiza pláticas y campañas dirigidas a los usuarios para explicarles el problema y la solución contra virus, troyanos, spyware y demás. Ubica videos disponibles en Youtube que expliquen gráficamente el problema asociado con la privacidad por el uso de redes sociales.
5.- Lo mencionado en el punto 2 debes dividirlo en:
a) Auditoría de seguridad informática y esquemas empleados actualmente en la empresa.
b) Revisión de vulnerabilidades en servidores, sistema operativo, puertos de red y redes virtuales.
c) Aseguramiento de confidencialidad.
6.- Una vez que cuentes con el diagnóstico, elabora un plan de adquisición o contratación de servicios administrados para subsanar cada una de las observaciones.
La justificación del presupuesto que requieres para realizar lo anterior procede del informe con el diagnóstico de lo que se encontró en cuanto a fallas y riesgos. Existen muchas marcas de fabricantes, hay muchos consultores y especialistas, pero a final de cuentas, todo se resume en lo que estés dispuesto a invertir.
Y digo “invertir” porque debes preguntarle al director general o dueño de tu empresa cuánto le costaría perder la base de datos de clientes, o perder la información de la cobranza.
México es uno de los países más apetitosos para los hackers del mundo debido a su extrema vulnerabilidad e ignorancia de los usuarios. Dependiendo de la empresa es el monto, pero al menos el 18% de tu presupuesto anual operativo o más debe ser destinado a temas de seguridad exclusivamente. Si no lo haces así, estarás frito y aunque prendas una veladora, quedarás en extremo riesgo.
_____________
El autor de este blog, Fernando Thompson de la Rosa, es CIO de la UDLAP. Ha sido CIO de la SRE, la SEGOB, UOL y EsMas.com; es miembro del Consejo Editorial de CIO México y del CIO Council for Latin America de Microsoft y ha sido conferencista en diversos foros en México, Estados Unidos y Sudamérica. Puedes contactarlo en twitter @thompsonfer y en www.FernandoThompson.com