Cada vez más internet está presente en nuestras vidas, y de una forma u otra se facilitan datos a las diferentes páginas web, como por ejemplo: redes sociales, correo electrónico y tiendas online, confiando en el servicio que ofrecen y con la confianza que los datos van a ser tratados correctamente y no van a ser “robados” por terceros.
Ahí radica el principal problema, tal como se está demostrando en los últimos meses, no todas las páginas web han puesto las medidas de seguridad suficientes para proteger la información de sus clientes (últimamente hemos podido comprobar cómo han salido noticias de empresas multinacionales que han sufrido ataques informáticos, cuyas consecuencias han sido fugas de información y su posterior publicación en web o en las redes P2P).
¿Cómo puede ser esto posible en el siglo XXI?
Siendo la sociedad de la información, muy sencillo. La seguridad implica esfuerzos y dedicación que en ocasiones no se está dispuesto a asumir. Sin embargo, la seguridad en una empresa debiera ser como la gestión de un coche, necesita periódicamente revisiones.
¿Cómo mejorar la seguridad?
Lo primero, tener claro que la finalidad de la seguridad es proteger la información que gestiona y almacena la organización.
¿Y cómo protejo la información?
- Identificando los diferentes pilares que dan soporte o afectan a la información, tales como personas, software, hardware y normativas.
- Comenzando por las personas (el eslabón más débil), ya que por falta de formación o concienciación en seguridad de la información o de manera intencionada, comparten contraseñas, publican información cuasi confidencial sin tener en cuenta el riesgo asociadas a estas acciones. Así pues, el primer paso en una organización será el de formar a su personal en materia de seguridad de la información.
- Posteriormente, la información debe estar protegida de accesos indebidos a través de configuraciones, tanto en elementos software (Aplicaciones, Sistemas Operativos) mediante una buena programación (Gestión correcta de sesiones, control sobre la información introducida,..) o controles de acceso lógico(usuarios nominales, contraseñas complejas y con caducidad, permisos de los usuarios), como en elementos hardware (Switches, Routers, Proxy, IDS/IPS) donde es necesaria una buena configuración de los mismos (Puertos abiertos, tipos de conexiones permitidas,…).
- Tras poner las primeras barreras para proteger la información, el siguiente paso será identificar qué legislación y normativas son las que afectan a la organización (Ley SOX, Ley Orgánica de Protección de Datos, LSSICE, PCI-DSS…), ya que su cumplimiento exige una serie de controles tanto a nivel técnico como a nivel organizativo.
- Por último, una revisión periódica (una buena opción sería realizarlo, al menos, anualmente) de los diferentes sistemas de información; desde un test de intrusión (simulación de un ataque informático) hasta la revisión de los controles implantados en los diferentes ciclos de negocio (identificando los riesgos y los controles necesarios para mitigarlos)…
Parece complejo pero no lo es. Basta un cambio de mentalidad que incluya la seguridad como un proceso más dentro de los diferentes procesos de negocio.
Javier Allende
Enviar comentarios