La seguridad informática no es un tema nuevo, pues casi todos hemos pasado por varias iniciativas y programas de trabajo. Sin embargo, muchos han experimentado la sensación de que su inversión no ha sido proporcional a los
resultados que han obtenido y en ocasiones la sensación de seguir desprotegido continúa.
En realidad, el éxito o fracaso de las estrategias de seguridad -por muy amplias y variadas que éstas puedan ser- depende de una lista de prácticas que reflejan la posición y filosofía de la organización ante la seguridad. La falta
de prácticas es lo que produce la mayoría de los fracasos en las estrategias. Es evidente que no hay una formula mágica. Sin embargo, a través de varios años de experiencia en el mejoramiento de la seguridad en diversas organizaciones, hemos observado cuáles son las medidas que permiten una implementación correcta de la seguridad, medidas sin las cuales difícilmente los objetivos y metas en seguridad se logran.
A continuación se presenta una muy breve explicación de las 10 medidas o prácticas recomendables a los directivos de las empresas y a los encargados de seguridad para su implementación:
1. Manténgase alineado con el negocio. Existen numerosas formas para alinearse al negocio, inclusive metodologías muy complejas. Sin embargo, todo se resume en saber qué es importante y cómo protegerlo. La mayoría de las organizaciones tienen recursos limitados, por tanto, es trascendental no gastar esfuerzos ni dinero en cosas que no son prioritarias.
2. Apoye los esfuerzos de seguridad en su organización. Muchas estrategias y planes de seguridad fracasan por falta de apoyo de los directivos de la compañía. Es normal que alguien más allá de los directivos tome bajo su cargo
la estrategia de seguridad, no obstante debe existir un apoyo decidido, ya que, como en muchos casos, el ejemplo es lo mejor. Entonces, cumpla y haga cumplir las políticas de seguridad en su empresa. Para que esto le sea más fácil,
defina qué tan importante y hasta dónde está dispuesta la organización a llegar en temas de seguridad.
3. Defina una estrategia. Antes de invertir o empezar a crear algo, defina cuál es el estado final deseado, su arquitectura de seguridad (entendiendo esto no sólo como la tecnología, sino los procesos de administración y el personal encargado de esos procesos). Una vez especificado, desarrolle metas a corto, mediano y largo plazos para llegar al estado final deseado.
4. Que su personal de seguridad no esté a cargo de las operaciones de Tecnología de Información. Es un error común dejar las labores de seguridad al personal encargado de las comunicaciones o de áreas operativas de la Tecnología de Información. ¿Que será más importante para el oficial de seguridad: la seguridad o la operación? En la medida de lo posible, debe existir una sana separación entre quien opera y quien debe proteger los activos de información. El equilibrio entre estas dos formas de pensar debe permitir que usted opere de manera segura.
5. Tenga una política de seguridad. La política debe ser clara, concisa y precisa, además debe demostrar el compromiso de todo miembro de la organización. No es recomendable tener un libro de políticas, ya que no permite
que sea practicable. Mi sugerencia es que tenga dos páginas cuando mucho; después se pueden crear estándares y guías específicas que apoyen esta política. Debe estar formalmente promulgada y dada a conocer a los miembros de
la organización, pero sobre todo tiene que apoyar una cultura de la seguridad. Es importante que la política no vea la seguridad como un proceso más de la organización, sino como parte de cada proceso de la organización.
6. En caso de violaciones a las políticas, sancione. El factor humano es uno de los más complicados y críticos en el éxito de una estrategia de seguridad. Las sanciones -por controversiales que sean- refuerzan el compromiso de la
organización ante la seguridad. Si no hay sanciones cuando se provocan problemas a la seguridad, la reincidencia es inevitable y hará que la política de seguridad sea letra muerta.
7. Monitoree continuamente. Saber que la arquitectura de seguridad y estrategia se lleva a cabo, si éstas son efectivas y eficientes o si necesitan mejoras es otro paso fundamental. Se debe monitorear el cumplimiento de la estrategia, la política e incluso las violaciones e incidentes de seguridad.
8. Haga participar a sus especialistas de seguridad en los desarrollos de sistemas. Muchos problemas de seguridad son creados en las fases de desarrollo de sistemas. Una vez terminada una aplicación las soluciones posteriores pueden ser costosas y de largo plazo. Evite problemas y verifique antes de que sea tarde.
9. Establezca líneas base de seguridad. Haga que su política de seguridad sea realizada a la medida en una configuración dentro de cada tecnología. Esto permite tener una administración para cada equipo de cómputo y saber de qué configuración se tiene y por qué.
10. Automatice y consolide tecnologías. El factor humano comúnmente es el más vulnerable, pues es más fácil engañar a una persona que a una máquina. La automatización permite tener un mejor control y respuestas efectivas. Se deben automatizar aquellos procesos de bajo valor para la organización. De igual forma, si usted ejecuta varios procesos de seguridad que en realidad tienen el mismo fin, consolide tecnologías y administraciones que sean redundantes. Recuerde que es más fácil cuidar una puerta de acceso a la casa que tratar de cuidar cinco puertas más.
Como podrá observar, las ideas que he planteado no hablan de soluciones tecnológicas. Sería catastrófico pensar que su arquitectura y estrategia de seguridad se reduce a tecnología. Tenga siempre en mente que aunque los
problemas de seguridad se ven reflejados en su infraestructura tecnológica, éstos son realmente los efectos de problemas en el liderazgo, políticas y prácticas de trabajo.
Fuente: El Economista, Rommel García, asesor de TI en KPMG en México
