Por Rafal Los,
Estratega en Seguridad Empresarial y de Nube en Hewlett-Packard Software.
NOTA: Este artículo fue originalmente publicado en inglés en CIO Enterprise Forum y comenta los resultados del Segundo Estudio Anual del Costo del Cibercrimen, del Ponemon Institute,auspiciado por HP, donde se revela el impacto financiero de los ciber ataques sobre las organizaciones empresariales y gubernamentales, a pesar de que cada vez hay más conciencia al respecto.
Estimado CIO/CISO, permítame sintetizar la encuesta en dos puntos simples:
- Usted [muy probablemente] será atacado por hackers o invasores
- Sus costos de recuperación seguirán aumentando
Si usted es un CIO o un CISO preocupado por su presupuesto frente a una economía que se encuentra nuevamente en recesión, debe tomar en cuenta estos dos puntos. No se trata de si la seguridad le parece importante o no, sino de que probablemente será atacado por hackers o invasores y de que esto costará, en promedio, un 70 por ciento más que el año pasado. Admitámoslo: cuando hablamos de "seguridad", no nos referimos realmente a la seguridad, ¿verdad? Hablamos de riesgos, así como de costos adicionales imprevistos que pueden surgir en su empresa cuando ocurre un ataque de delincuentes.
Los costos generados por un compromiso, un ataque de hackers o una invasión -no importa el nombre que le den sus abogados- aumentan más rápido que la nieve de enero en Montana. Ya sea que se consideren los de desviar todos sus recursos de TI de los proyectos actuales y asignarlos a la tarea de restaurar la normalidad, los costos legales, los de generación de informes obligatorios u otros, el problema se puede resumir de la siguiente manera: eso está fuera de sus posibilidades económicas.
Por lo tanto, usted probablemente supone que, como está todo perdido y los costos serán astronómicos, no queda más que esperar a que ocurra una catástrofe, ¿verdad? Como conozco a varios de mis lectores y sé que no es eso lo que piensan, creo que en realidad probablemente tampoco es su opinión. Y para todos los demás, aquí hay algunos consejos. Además, esto tiene que ver con lo que he estado haciendo durante toda la semana del HP Protect, en Washington, DC. A continuación está lo que usted puede hacer ahora mismo para mantener a la raya a los “tiburones” que están al acecho...
- Tenga una política de seguridad sólida: en Internet hay muchos ejemplos de marcos sólidos para las políticas de seguridad empresariales. Como mínimo, es necesario tener una política que haya sido aprobada por la empresa y analizada en cuanto a los aspectos legales y al riesgo, además de aceptada y comprendida por sus empleados, socios y aquellos a quienes dicha política se aplique.
- Proteja sus aplicaciones: durante años usted ha oído al personal de seguridad hablar sobre el perímetro que se desvanece; esto es ahora una realidad. Ha exigido que el personal que trabaja para su organización pueda trabajar en cualquier parte, en cualquier momento y en cualquier dispositivo, pero eso tiene un costo. En el ámbito de la seguridad de la información decimos que se trata de un "pasivo de seguridad", es decir, una comodidad que se establece y genera costos mucho tiempo después, cuando menos se espera. Sus aplicaciones deben desarrollarse teniendo en cuenta la seguridad a partir de la primera línea de código o, mejor aún, a partir del primer requisito empresarial. No importa si está generando un código que se utilizará en un dispositivo móvil, como un iPad, en un teléfono con Android o en la computación en nube... Lo cual me lleva al siguiente punto.
- Adopte la computación en nube: si todavía está indeciso acerca de la computación en nube, ha perdido el tren. Lamento ser el portador de las malas noticias, pero probablemente ya hace tiempo que sus empleados, desarrolladores y gerentes de programa empezaron a utilizar la computación en nube en formas que usted no preveía, y probablemente usted no vio problema en eso. Desde la perspectiva de la seguridad y de los riesgos, las reglas del juego cambian completamente cuando hablamos de la computación en nube. En realidad retiro lo dicho... Las reglas del juego no cambiaron en absoluto; lo que ocurre es que desde el principio hemos tomado medidas inadecuadas en lo que respecta a la seguridad, y ahora tenemos otra oportunidad de hacer todo correctamente. Pero si las cosas se siguen haciendo como hasta ahora, no veo mucha posibilidad de éxito en el horizonte.
- Obtenga inteligencia: hemos entrevistado a varias personas recientemente respecto a este tema. Publicaré las entrevistas en mi blog personal de HP ("Following the White Rabbit"), cuando vaya obteniendo el permiso de todos. Lo que constaté es que el término inteligencia de seguridad aún es muy mal comprendido y poco utilizado. Ya sea que le interese saber lo que ocurre en su propia empresa, comprender las ramificaciones de reputación de los hosts con los que su empresa se conecta en Internet o inspeccionar las transacciones en sus aplicaciones o centros de datos, perderá dinero y desaprovechará una oportunidad si no acumula inteligencia a partir de todos los datos recolectados. Si todavía no tiene un socio que haga esto por usted, la pregunta es: ¿por qué?
- Juégueselo todo: cuando se trata de seguridad y riesgo en los negocios, usted debe utilizar la tecnología de que dispone internamente y las tecnologías que todavía no ha adquirido, además de hacer que todo funcione conjuntamente. Ha quedado atrás el tiempo de los silos; si no, pregúnteselo a Joseph Feinman, de Gartner. Si no está utilizando verdaderamente la ESI (Inteligencia de seguridad empresarial) como un objetivo real en su programa de seguridad operacional, tiene mucho trabajo que hacer. Claro que es bueno que su IPS haya bloqueado un ataque dirigido contra su servidor web. Pero ¿la aplicación era crítica para su empresa? ¿Estaba vulnerable al ataque? ¿Dicho bloqueo protegió la aplicación? ¿Cómo saberlo? Esta es una pregunta fundamental que debe plantear a su equipo de seguridad de TI.
Bueno, eso es todo. Estoy convencido de que no he destrozado su sensación de seguridad, ya que la mayor parte de los CIO/CISO comprende el hecho de que nunca es posible garantizar la seguridad... Sin embargo, es posible tener aversión al riesgo y estar preparado. La verdad es que ya no esperamos "impedir todos los ataques", como se solía afirmar en el material de marketing de los antiguos productos de seguridad que eran una verdadera panacea... Pero definitivamente esperamos disponer de inteligencia suficiente para saber dónde están los elementos que implican un mayor riesgo, el momento en que están bajo ataque y cuándo se debe presionar el botón de pánico.
Ahora que estamos analizando este tema, permítame mencionar lo que hicimos en HP Protect 2011. Anunciamos una colaboración dedicada por medio de una unidad de negocios de seguridad de HP que tiene el propósito de ayudar a las empresas a controlar de manera efectiva el complejo problema de la seguridad y del riesgo. Anunciamos más productos y servicios nuevos de los que podría mencionar aquí (vea las citas abajo). Y me alegra decir que lo mejor de todo es que estamos recién empezando.
Ya sabe cómo comunicarse conmigo. Si puedo ayudar en algo, no dude en ponerse en contacto.
Fuentes:
