Seguridad TI en la empresa
Lograr que las empresas inviertan en seguridad TI, a menudo requiere un gran esfuerzo por parte del departamento a cargo, por tanto es necesario utilizar esa inversión de manera efectiva.
Algunas recomendaciones para implementar soluciones de seguridad:
- Entender el negocio, es decir, cómo funciona la empresa, cuáles son sus objetivos y áreas críticas, con ello se logrará identificar las distintas necesidades en cada uno de los departamentos y su personal. Teniendo en consideración lo anterior, en las herramientas de seguridad no es recomendable la aplicación general de configuraciones por defecto, si bien pueden operar de esta forma, no se aprovecharía todo su potencial.
Ahora bien, tampoco se deben implementar soluciones con una excesiva personalización. Al tener más excepciones que reglas o demasiados falsos positivos, se volverán imposibles de administrar y a la larga la herramienta perderá credibilidad. Si todos los días el log se llena de alertas, cuando realmente se tenga un incidente, probablemente no se le preste atención necesaria; la administración será tan tediosa que resultará poco útil.
Las medidas de seguridad deben representar una solución y no un problema.
- Una vez entendido el negocio, clasificar la información indicando cuál es crítica y por qué (por disponibilidad, integridad o confidencialidad). En esta tarea se recomienda involucrar a los dueños de los datos, para que sean quienes realicen la clasificación y protegan la información.
Muchas veces se cree que el departamento de TI es el responsable de la seguridad de los datos, cuando en realidad, el responsable sería el dueño de la información. Por ejemplo, el Gerente de Recursos Humanos es el responsable de la información personal de los empleados y de la misma manera, el Gerente Comercial de los contratos con clientes, etcétera. El dueño de la información clasificará la información y el Departamento de TI proveerá las herramientas para proteger esa información según los requerimientos
- Realizar un análisis de riesgos que ayude a identificar los puntos débiles que comprometen la disponibilidad, integridad o confidencialidad de la información, y enfocar allí las medidas para mitigar los riesgos. En una época tan dinámica, donde todos los días aparecen nuevas amenazas, es importante entender a la seguridad como un proceso de mejora continua. No se puede pensar en la seguridad como algo estático, como un problema que se soluciona configurando un firewall o un antivirus y dejándolo ahí para que haga su trabajo.
- Tener en cuenta a los usuarios. Después de todo, son ellos quienes terminarán utilizando los sistemas y las medidas que se implementen, y serán los primeros en verse afectados si algo sale mal. Cuanto más cerrada es una solución, más difícil es de implementar, mayor es el impacto y la resistencia.
Por ejemplo, una contraseña debería tener letras, números, símbolos y más de 15 caracteres; cambiarse cada dos meses y no se pueden repetir las últimas 10 claves. Siguiendo estos lineamientos, se obtendrá una contraseña segura pero probablemente va a terminar en un papelito adherido al monitor del usuario. Si bien es necesario utilizar claves seguras, es más importante que las personas las recuerden, por lo que, además de implementar una política de contraseñas, también hay que instruir a los usuarios en métodos de creación de combinaciones que sean fáciles de recordar y en el uso de sistemas de gestión de contraseñas.
Tampoco podemos obligar a los usuarios para que se involucren en temas que no les atraen o les resultan complicados. Por tanto, al comunicar es importante ser claro y utilizar un lenguaje sencillo, sin demasiados términos técnicos; a los usuarios no les interesa leer una política de seguridad de 20 hojas. Charlas cortas, concretas, guías con buenas prácticas que sean fáciles de leer y tengan la información necesaria, serán mucho más atractivas y comunicarán mejor el mensaje.
- Contar con personal capacitado y dispuesto a investigar las diferentes herramientas y configuraciones que se van a implementar. Cuando la empresa hace uso de soluciones que requieran cierto grado de especialización, será de gran utilidad un proveedor que cuente con el personal calificado. Esto puede significar una disminución en costos y tiempo para la implementación, así como una correcta configuración y administración de la solución.