Llegamos a ustedes gracias a:



Columnas de opinión

Tres principios para mejorar la seguridad de la información en la empresa

Por: Stanley Velando, director ejecutivo de Kunak Consulting

[26/11/2012] La seguridad de la información sigue siendo un tema primordial para cualquier tipo de empresa, sea grande, mediana o pequeña. La cantidad de medios con los que se cuenta hoy en día para transmitir información empeora las cosas y hace mucho más difícil asegurar la información.
Ante la realidad que viven las empresas se propone la implementación de Sistemas de Gestión de Seguridad de Información, conocidos también como SGSI; sin embargo dicha implementación por lo general representa un esfuerzo que involucra muchos recursos y se hace, en ocasiones, inaplicable dado los escenarios actuales de muchas empresas.
Como una manera alternativa de enfrentar el reto de la implementación de seguridad de información, detallo tres principios fundamentales que pueden ayudar mucho a mejorar la seguridad de la información corporativa.
1. Enfocarse en la gente, existen muchos riesgos de seguridad de información que se pueden reducir o minimizar si nos enfocamos en concientizar a nuestro personal: compartir información del trabajo en redes sociales, identificar ataques de ingeniería social, dar alerta ante incidentes de seguridad como robo de información flagrante, el reporte de comportamientos sospechosos, mal funcionamiento de los equipos, reporte de equipos móviles perdidos (smartphones, tablets), posibles infecciones con virus, worms, spyware, etc.   Una estadística tomada entre el 2010 y 2011 nos dice que 42% de las empresas que sufrieron un incidente de seguridad deciden emprender iniciativas de concientización al personal, esto significa que los incidentes pudieron haberse evitado de tener a su personal concientizado.
2. Tener y mantener indicadores, así sean pocos, el contar con por lo menos cinco indicadores ayuda a saber en qué nivel está nuestra seguridad de la información. Puede sorprender a muchos pero se sabe que aproximadamente solo un 20% de las empresas cuenta con indicadores de seguridad de información y menos del 10% utiliza herramientas de gestión de dichos indicadores, tales como balance scorecards. Las empresas deben saber que cualquier control que tengan implementado puede generar un indicador. Si tienen un control que registra el intento de ataques a su red perimetral (como un IPS o un IDS), esto puede generar un indicador: 35 ataques en enero, 48 en febrero, 72 en marzo, significa que estamos siendo atacados de manera incremental, lo cual nos puede ayudar a generar presupuesto para herramientas de protección perimetral.
3. Monitorear nuestros logs de auditoría, puede sonar a muy complicado pero no lo es. Ya no se necesita comprar equipos costosos ni tener gente especializada en identificar ataques, existen ya muchas empresas que ofrecen este tipo de servicios a precios bastante razonables. Monitoreos en línea de los logs del Active Directory, de la base de datos, hasta de nuestras aplicaciones. Detección de comportamientos sospechosos o identificación de patrones de ataques. Resulta increíble saber que casi 90% de las empresas cuentan con un sinnúmero de logs de auditoría activados (lo cual significa un mar de datos), pero menos del 10% los monitorea de manera preventiva. La mayoría usa sus logs para análisis post-mortem, cuando ya no se puede hacer nada y la única opción es ver quien tuvo la culpa. Una estadística interesante obtenida entre el 2010 y el 2011 nos indica que una empresa con un servicio de monitoreo se demora en promedio 12 días en resolver un ataque de seguridad de información versus los 22 días que se demora una empresa que no tiene contratado dicho servicio.
Si tenemos en cuenta estos principios podemos garantizar que la seguridad de la información en su empresa mejorará. Repetimos que esta no es una alternativa a la implementación de un SGSI; de hecho, si ya cuenta con uno implementado, refuerce estos tres pilares, y si no cuenta con un SGSI implementado, estos tres principios son un buen punto de partida. 
CIO, Perú