Consejos para implementar adecuadamente la seguridad de TI en su empresa
De acuerdo con la alemana T-Systems, ahora las empresas piensan en formar sus oficinas de seguridad y no solamente tener un gerente de TI.
Con una infraestructura informática en varias plataformas de nube, las empresas pueden conseguir ventajas estratégicas. Esta infraestructura ofrece a las organizaciones capacidades tecnológicas como máquinas virtuales, espacio de almacenamiento, aplicaciones y funciones según las necesidades, las ventajas económicas, los requisitos de gobernanza y seguridad o el rendimiento. De esta forma, las empresas usan la solución más adecuada, pagan únicamente en función del uso real que hagan de ella y trabajan con autonomía con respecto a los proveedores de nube. Pero ¿qué hay de los temas de seguridad?
En entrevista con Agustín Flores, gerente sénior de cuentas de T-Systems México, nos mencionó que “cada vez hay una mayor interacción con los usuarios en términos de seguridad; ellos son la primera capa de seguridad de la empresa y ellos son los que en muchas ocasiones no toman con seriedad ese tema hasta que son atacados y las brechas son materializadas”.
Para sobrepasar esta primera capa de seguridad basta con que un email sea abierto por los empleados y que libere un virus Troyano u otros virus en el ordenador de la compañía a través del llamado spear-phishing. Este malware se expande por las redes empresariales causando daños importantes como cortes de producción, o robando know-how.
Las amenazas virtuales explotan, deliberadamente, los puntos vulnerables en la seguridad informática, basta recordar el ejemplo del ransomware Wannacry a principios de mayo del año 2017 o el software de chantaje Petya a finales de junio. Estos infectaron a sistemas de terceros mediante una interfaz de Windows no asegurada, se implantaron en los discos duros, encriptaron archivos y pidieron rescate.
En el caso de la industria manufacturera, los ataques pararon las líneas de montaje en Renault, en Douai, y la producción se vio interrumpida en varias empresas en toda Europa. La razón de los ataques de este tipo es que antes existía una separación entre los sistemas de las oficinas y las naves industriales, las redes corporativas y las estructuras informáticas, pero ahora todo se conecta. El resultado es que una fábrica conectada produce bienes más rápido, de manera más eficaz y más económica, pero al mismo tiempo también es más vulnerable a los ciberataques.
Los beneficios económicos de la conectividad en la industria manufacturera son enormes, por ejemplo, de acuerdo con la asociación BITKOM, la industria 4.0 aumentará la productividad en Alemania en unos 78 mil millones de euros de aquí a 2025. Ahora imaginemos esa cantidad representada a nivel mundial y el jugoso premio que representan los ciberataques hacia este sector.
“En México, los marcos regulatorios empiezan a ser más rigurosos con respecto a los temas de seguridad, ahora se debe contar con controles que, evidentemente, te lleven a documentar cómo enfrentas los riesgos cibernéticos”, nos comenta Flores.
De acuerdo con el especialista, ahora las empresas solicitan apoyo para formar sus oficinas de seguridad. “Anteriormente esto no era muy usado, pues les bastaba con tener al gerente de TI, quien de acuerdo a sus capacidades iba dotando de programas de seguridad basados en el día a día de la empresa, y ahora se debe estar atento a cuáles con los activos críticos de la operación, y así poder seleccionar cuáles son las son las tecnologías que los soportan.”
Por ello, la gente de T-Systems compartió los siguientes consejos sobre cómo debe ser una estrategia de seguridad corporativa.
La seguridad empresarial es flexible y dinámica
Internet ha marcado el inicio de la era de "todo y en todas partes". Las expectativas de los clientes también se han adaptado. Permanecer junto al cliente ha llegado a ser un importante factor de éxito para las compañías, pero esto implica algunos retos tecnológicos. Por un lado, ahora las funcionalidades de un sistema tienen que estar disponibles para dispositivos móviles vía apps en sólo unas pocas semanas. Por otra parte, se requiere de capacidad para instalar de manera dinámica los procesos de negocio en el back-end y adaptarlos a las demandas del mercado.
Esto no puede lograrse con un sistema anticuado e inflexible. Las compañías deben transformar su sistema de TI de modo que, por ejemplo, puedan conseguir recursos bajo demanda en la nube, sin poner en riesgo la seguridad de la empresa.
El Gobierno Corporativo y los departamentos de gestión de riesgos corporativos deben ser incluidos en esta fase. Un gran desafío extra al respecto es integrar los procesos existentes dentro de la gestión de la seguridad de la compañía (Information Security Management Systems, o ISMS).
La seguridad corporativa demanda una importancia estratégica
Este proceso requiere un análisis individual de la seguridad, por ejemplo, con la ayuda de una solución de ciberdefensa avanzada (Advanced Cyber Defense, ACD). Una plataforma de ACD no sólo proporciona resultados que permiten extraer una estrategia de seguridad adecuada, sino que también proporciona informes sobre incidentes de seguridad que han de ser "utilizados" de acuerdo a la estrategia de seguridad de la empresa. ACD ofrece también herramientas que respalden los procesos incluidos en la estrategia de seguridad de la compañía. En resumen: ACD es una infraestructura que puede y debe ser integrada dentro de la estrategia de seguridad de cualquier compañía, de acuerdo con Flores.
Tan importante como una detección temprana de los posibles ataques a la seguridad corporativa es el acceso preventivo a los sistemas y aplicaciones por parte de individuos no autorizados. Por ejemplo, los métodos de acceso basado en roles (role-based Access, o RBAC) para usuarios digitales en red utilizan esta técnica. Los sistemas de gestión de accesos brindan una capa extra de seguridad para proteger la información empresarial.