Imagine que un día despierta y todo el historial contable de su empresa ha desaparecido sin explicación alguna, o algo más grave, miles de miles de dólares de las cuentas de su compañía se han evaporado por pura magia, más bien por pura habilidad de los hackers que dedican su vida a ello. Para evitar estos sustos se hace imprescindible analizar la madurez de la información de su empresa, por más pequeña que sea. Aquí le contamos por qué.
Aunque el tema de la seguridad de la información se ha venido abordando desde hace mucho tiempo, cada vez se hace más necesario. Hace 20 o 30 años se guardaban los documentos importantes bajo llave, lo que demandaba un espacio físico bastante significativo. Sin embargo, el presuroso paso de la tecnología ha desarrollado formas para hacer esta carga más llevadera.
El gerente general de la empresa de seguridad informática GMS, Xavier Almeida, explica a GESTIÓN que hoy por hoy existe un dilema que enfrenta el anhelo de tener “un fácil y rápido acceso a la información” versus “la poca atención que le ponemos a la seguridad”.
Y es que por privilegiar la premura, muchas veces el usuario deja puertas abiertas innecesarias, que pueden ser aprovechadas por ciudadanos inescrupulosos que viven de robar información. Un caso común es el que ocurre cuando un usuario descarga la app de su banco en el teléfono celular y “nadie tiene reparo en poner un antivirus” o conocer “si están conectados a una red de wifi segura”, afirma Almeida.
De allí nace precisamente la necesidad en concientizar a la sociedad y al mercado sobre “la importancia del tema de la seguridad”. Para ello, el primer paso es justamente analizar el estado de la madurez de la seguridad de la información en la empresa o negocio, por más pequeño que sea. Esto incluye saber a través de un proceso indagatorio cómo está la gestión de seguridad en la compañía, el control, la implementación en el ambiente personal, profesional, corporativo, etc.
“Nosotros tenemos un marco y un modelo de trabajo en el cual nos centramos en hacer ese análisis basados en lo que nosotros llamamos controles”, comenta el gerente de GMS al detallar que cada uno de esos controles puede representarse como un semáforo. De esta manera, si el indicador está bien manejado, será verde; si existen dudas, será amarillo, y si se evidencia que no está bien manejado será rojo.
Finalmente, el promedio de todos estos controles permite evaluar en qué estado se encuentra la seguridad de una empresa o institución.
Claro que existen puntos que no son tan sencillos, por ejemplo, el tema de la confidencialidad de la información, para lo cual se pueden establecer una serie de parámetros, políticas y procedimientos “para que la seguridad tome cuerpo y no se vuelva una letra muerta simplemente”.
En ese sentido, GMS tiene claro que “no importa el tamaño de una empresa para aplicar un sistema de seguridad”, pues existen controles básicos que pueden implementarse para evitar fugas de información o pérdidas sensibles que luego se lamentarían.
“Un hackeo no ocurre de la noche a la mañana, todo el tiempo estos bots atacan y buscan vulnerabilidades y si las encuentran probablemente las vendan al mercado negro”, añade el ejecutivo.
Cómo funciona el análisis del nivel de madurez en seguridad de la información
El análisis del nivel de madurez en seguridad de la información se logra mediante un cuestionario realizado a diferentes departamentos, como Tecnología de la Información, Riesgos, Auditoría, entre otros, acerca del estado actual de su organización en cuanto a la implementación de los controles de seguridad.
Estos controles se basan en las recomendaciones, buenas prácticas y estándares internacionales para la seguridad de la información y proporcionan una visibilidad de los posibles fallos en la seguridad. El objetivo es priorizar y enfocar las acciones y soluciones que deben implementarse en su organización para detener los ataques y los peligros cibernéticos actuales.
Después de completar el cuestionario, se puede saber el resultado del nivel de madurez en cada uno de los 25 controles. Antes de realizar el análisis, el semáforo del nivel de madurez aparecería todo en rojo, de esta manera:
Una vez completado el cuestionario y después de que haber analizado las respuestas, se obtiene un resumen de los resultados del nivel de madurez, en donde se detallan las principales brechas (en rojo), las oportunidades de mejora (en amarillo) y las fortalezas (en verde) en la seguridad de la información. Por ejemplo, los resultados podrían arrojar un semáforo así:
Luego, se realiza un informe más detallado de las brechas con respecto al riesgo y a la factibilidad de implementación de las soluciones recomendadas. Finalmente, se entrega una hoja de ruta (road map) que contiene una posible guía para la gestión de la seguridad de la información, con todas las recomendaciones.
¿Cuál es el costo de contratar un servicio así?
Luego de evaluar la madurez de la seguridad de la información, GMS realiza un análisis del retorno de inversión, es decir, estudia entre los riesgos existentes cuáles son mitigables, transferibles o cuáles puede asumir la empresa. A partir de allí se define el posible costo de las soluciones y las decisiones. “El análisis de madurez nos permite establecer estas decisiones inteligentes basándonos en un presupuesto, en un tiempo, en un conocimiento; el análisis nos permite asesorarles de mejor manera y no solamente tratar de vender servicios”, aclara Almeida.
Ejemplos de soluciones
- Por ejemplo, una empresa que hace transacciones en línea debe contar con firewalls de aplicaciones web, es decir, equipos que están destinados a proteger aplicaciones que están en la web debido al tipo de amenazas que pueden recibir.
- Hay controles más avanzados. GMS cuenta con un servicio de centro de operaciones de seguridad, cuyo objetivo es brindar visibilidad a la empresa sobre lo que sucede al interior de la misma y arrojar alertas de monitoreo al cliente.
- Uno de los ataques más comunes es el ataque de fuerza bruta a bases de datos, en el que un individuo intenta ingresar a una base de datos con un usuario y una contraseña y aunque no tenga los datos correctos puede probar combinaciones de códigos hasta mil veces por segundo y si una aplicación no está programada para bloquear el sistema después de varias repeticiones, la empresa no podrá saber que está siendo víctima de este tipo de ataque. Lo que hace la alerta es avisarle a la compañía que su seguridad está siendo vulnerada. Se identifica la IP desde donde viene el ataque y se bloquea todo el conjunto de redes maliciosas.
Para saber más
Como parte de sus actividades, por séptimo año consecutivo, GMS organiza su conferencia anual, que tendrá lugar este 17 de octubre en Quito. El evento es abierto al público y pueden asistir quienes tengan interés sobre temas de seguridad informática y de la información.
El evento tendrá lugar en las instalaciones del Hotel Marriott, de 08:00 a 18:00. Para más información y para participar en el evento, ingrese al sitio web: www.conferenciagms.com.
Si va a hacer uso de este artículo, por favor cite la fuente original. Artículo de información (I).
Encuentre contenido relacionado en nuestro archivo histórico:
Monitor estratégico: evite los icebergs que puedan hundir su negocio
Banca latinoamericana invierte 20% de su presupuesto en innovación
La urgencia de reinventar la mente para alcanzar el éxito
La banca ecuatoriana, con buen pulso en servicios móviles y redes sociales
Visión periférica: el arte de ver más allá en los negocios
Last modified on 2018-10-16