Centroamérica & Mundo
Pensar que la seguridad tiene que ver solo con el departamente deTI es una de las debilidades de la mayoría de organizaciones.
Por: Cisco
Hay varias tendencias que están confluyendo para cambiar de manera importante la forma cómo a través de la red se conectan las personas y con distintos dispositivos.
Una creciente movilidad, la adopción de dispositivos móviles, la adopción de aplicaciones en la nube, el crecimiento de tráfico relacionado con video son algunas de estas tendencias. Pero la que más impacto tendrá es lo que se conoce como el Internet de Todo que consiste en conectar lo que antes no estaba conectado como cámaras de videovigilancia, sistemas de control de edificios, la red eléctrica, autos, transporte público, televisores, entre otros.
Estas tendencias tienen que ser reforzadas en términos de seguridad para que los riesgos potenciales que surgen con el proceso no se vuelvan un inhibidor y al mismo tiempo la seguridad sea vista como un habilitador y no como un gasto.
Existen individuos y organizaciones criminales, entre otros, que buscan aprovechar los puntos débiles o la falta de conciencia de los usuarios y las organizaciones con respecto de la seguridad para hacer daño.
Aquí algunos de los errores más comunes a nivel de ciberseguridad:
La seguridad cómo una meta y no como un habilitador
Por supuesto que se debe que aspirar a tener un nivel de seguridad aceptable para la operación de la organización, pero eso es una cosa y otra muy distinta es pensar que se puede estar 100% seguro. Incluso, podemos proponer que aspirar a esto no es una meta que se pueda alcanzar en la realidad ni es económicamente sensato para la mayoría de las organizaciones.
Primero la tecnología, luego el análisis de riesgo
El enfoque adecuado comienza con una decisión estratégica donde la organización entiende de manera consciente cuáles son los riesgos más importantes para la operación y la supervivencia de la misma, así como cuáles son aquellas cosas que si bien son importantes quizá no son vitales. Por supuesto, la estrategia de seguridad adecuada se encargará de proteger los procesos que son parte esencial de la operación del negocio y hará su mejor esfuerzo por proteger el contexto pero no se desgastará buscando proteger el 100% de la organización el 100% del tiempo, ya que no es alcanzable ni económicamente factible.
'Los mejores productos del mercado dan la mejor seguridad del mercado'
Este punto está íntimamente ligado con el anterior pero merece un comentario aparte ya que es un pensamiento común entre muchos profesionales de la seguridad quienes consideran que la mejor 'caja' o software existentes en el mercado y donde no se explica la definición de mejor, es la que me dará la mayor seguridad. Con base a lo señalado en el punto anterior está claro que el nivel de riesgo que la organización defina como aceptable no se va a lograr con una caja ya que este nivel de riesgo, y el cómo se mide, serán únicos y diferentes para cada organización y no necesariamente lo que un programador o ingeniero diseñen estará 100% alineado con este nivel particular por más que la tecnología empleada sea de 'clase mundial'.
Un mejor enfoque es abstraerse de los componentes discretos de la seguridad, por ejemplo, software de AV, firewall, IPS entre otros y pensar en qué servicios de seguridad la red y el software deben ofrecer; con base en estos servicios definir cuál debe ser la arquitectura que va a llevar a la organización a manejar el nivel de riesgo adecuado, independientemente de qué cajas o software utilice.
Enfocarse en el ahora y no en el durante y en el después
Para lograrlo no perder este enfoque en ninguno de sus tiempos, lo primero que hay que hacer es implementar medidas que faciliten una mejor visibilidad de lo que pasa en la red. Cabe destacar que los elementos de la red como switches, ruteadores, APs y concentradores de VPNs pueden dar mucho del contexto necesario para tener esta visibilidad y no es necesario poner una red sobrepuesta a la ya creada para lograr niveles de visibilidad y de respuesta no existentes anteriormente.
La seguridad tiene que ver todo con TI y nada con el resto de la organización
La tecnología de seguridad cibernética puede ayudar a manejar un nivel de riesgo adecuado para la organización pero no necesariamente es una solución en si misma ya que los atacantes tampoco se basan 100% en herramientas tecnológicas para lograr sus cometidos. Técnicas de 'ingeniería social' y de vulnerabilidad de la seguridad física pueden ser utilizadas en las etapas iniciales de un ataque.
Ciertamente la seguridad es un tema que debe incumbir a toda la organización ya que conforme los procesos de negocio dependen cada vez más y más de la disponibilidad de la red es importante que todos los integrantes de la misma sean parte de la respuesta y no se piense en la seguridad cibernética como un problema exclusivo de TI.
