La nueva realidad impuesta por la pandemia de COVID-19 y en su consecuencia el distanciamiento social, puso el pie en el acelerador a los procesos de transformación digital de muchas organizaciones que recién comenzaban este camino y que lo planificaban a mediano / largo plazo. Tanto pequeños emprendimientos, PYMES y grandes empresas tuvieron que literalmente tirarse a la pileta e implementar la versión digital de su modelo de negocio, y como ya es sabido con el ritmo de la urgencia las cuestiones de seguridad informática suelen dejarse para más adelante.
Debemos comprender que la transformación digital tiene como consecuencia la informatización de nuestros principales procesos de negocio (Procesos CORE) convirtiéndolos en piezas de software (programas) , esto los deja expuestos a nuevos riesgos inherentes al entorno digital en el cual comenzamos a movernos y pueden ser blanco de ciberataques. Lo que nos lleva a concluir que al proceso de transformación digital lo debemos acompañar con una solida estrategia en ciberseguridad.
Factores de riesgo
Existen dos grupos bien diferenciados de factores de riesgo que pueden ocasionar un incidente de ciberseguridad, el factor humano y el factor tecnológico, ambos deben ser tratados con la misma importancia a la hora de planificar una estrategia dirigida a mitigar los riesgos inherentes a la seguridad de nuestro ecosistema digital.
La mejor estrategia para mitigar el riesgo de un incidente provocado por el factor humano es el de la “concientización” en aspectos de seguridad informática, mediante capacitación constante, charlas de inducción al tema de la seguridad informática, mailing interno con consejos útiles y alertas.Podemos invertir mucho dinero en equipamiento y software de seguridad pero si no capacitamos al capital humano no evitaremos que utilicen una contraseña débil o que abran un mail conteniendo una potencial amenaza. Debemos generar conciencia y promover el cambio cultural del capital humano con respecto a temas de ciberseguridad.
Una buena opción es la de programar charlas regulares con un especialista en la materia, que pueda transmitir de manera didáctica a nuestro capital humano las buenas prácticas para evitar ser víctima de un ciberataque. Esto puede reforzarse con newsletters internos con información actualizada sobre las últimas amenazas y consejos de buenas prácticas. Hacer que el personal se involucre y se interese es algo más que deseable, como por ejemplo creando un comité interno que se ocupe de difundir y de reforzar las ideas con respecto de la seguridad de la información.
El factor tecnológico está compuesto por las herramientas de hardware y software que decidimos utilizar como nuestra plataforma tecnológica y conforman nuestro ecosistema computacional. Entonces hablamos de sistemas operativos, aplicaciones productivas (CRM , ERP , RRHH ), aplicaciones de mensajería, Bases de Datos, etc. Sin importar en qué entorno se ejecuten, sea en la nube (on-cloud) o de manera local (on -premise) estas “herramientas tecnológicas” al servicio de nuestro negocio pueden presentar vulnerabilidades, mismas que pueden ser explotadas con intenciones maliciosas y causar daño o pérdida de información y todas las consecuencias que esto acarrea.
En cuanto al factor tecnológico puedo recomendar : Mantenerse al día con las actualizaciones de seguridad de los sistemas operativos de todos los dispositivos tecnológicos que utilizamos tanto a nivel corporativo o personal, sean teléfonos móviles, laptops, pc de escritorios y por supuesto servidores. También se debe contemplar la actualización de nuestros aplicativos, sean propios o de terceros. Deben tener en cuenta que las aplicaciones que utilizamos dia a dia para hacer funcionar nuestro negocio, manejan información vital de nuestros clientes y proveedores, en fin de todo con quien se relacione nuestra organización, información que no debe quedar en manos de terceros por un mero error del sistema. La perdida de información privada de un tercero almacenada en nuestros sistemas además de tener impacto en lo económico, debido a la imposibilidad de operar sin ellos, puede acarrear problemas legales que seguramente tendrán impacto negativo en la reputación de nuestra organización.
Pasos para una buena estrategia de ciberseguridad
De nada sirve armarse de un cierto conjunto de herramientas para cuidar la ciberseguridad si no contamos con una buena estrategia, dado que el escenario donde se libran esas batallas es extremadamente dinámico. Debemos estar preparados para enfrentar los cambios y re adaptar nuestro “esquema de seguridad informática” para que siga siendo efectivo. Por eso veamos los cuatro pasos que debemos dar para construir una estrategia solida.
Evaluación y Diagnóstico.
Para saber cómo llegar a donde quiero ir, primero debo saber de donde voy a partir y con qué opciones cuento desde el principio, esto último es lo que nos entrega un buen diagnóstico de situación.
Una evaluación precisa y metódica de los riesgos inherentes al tipo de plataforma tecnológica empresarial marcará efectivamente un norte, un punto de referencia bien claro a seguir y en el cual basaremos toda la estrategia. La misma se centrará en aspectos como la seguridad de la red, tanto perimetral como interna, la seguridad de nuestros puestos de trabajo, de escritorio y móviles, la seguridad de los sistemas operativos y aplicaciones de negocio.
El resultado de esta evaluación deberá ser un informe completo y detallado, enumerando riesgo por riesgo, mesurando su impacto en el negocio y su probabilidad de ocurrencia, además de las acciones sugeridas para mitigarlos. En cuestión de riesgos algunos pueden asumirse o trasladarse, esto último mediante compañías de seguro por ejemplo. Lo importante es que lo que se decida hacer con cada riesgo en particular será el hilo conductor de nuestra estrategia en materia de ciberseguridad.
Planificar la estrategia
No existe una estrategia general que se adapte a cada tipo de organización , empresa , pyme o negocio, si bien hay lineamientos expresados en forma de “buenas prácticas” ,estándares internacionales y hasta regulaciones según el tipo de industria, la estrategia se debe delinear sobre nuestras particularidades y posibilidades. Es decir que copiar exactamente lo que hacen otros quizás no sea del todo efectivo. El especialista a quien le encomendemos esta tarea deberá, siguiendo la agenda impuesta por el informe de evaluación de riesgo, construir una estrategia teniendo en cuenta las particularidades de nuestra plataforma y adaptando la mejor solución posible a nuestras necesidades y a nuestro presupuesto.
Hay un principio del control de calidad, nacido de las normas ISO, que dice que el costo de controlar la calidad debe ser razonable frente al costo del proceso a controlar. En resumidas cuentas no podemos gastar miles de dólares controlando algo en algo que sólo aporta cientos a nuestra empresa. El especialista no solo debe elegir las herramientas adecuadas sino también las que se adapten a nuestro presupuesto y estén en concordancia con los activos y procesos a proteger. Con esto no quiere decir que la mejor solución es la más barata, a no confundir, digo que la solución propuesta debería ser eficaz y a la vez eficiente en términos de costos.
Se puede decir que una solución que cumpla con estas dos cualidades es aquella que no solo sirve para el momento en que se la aplica (contrata), sino que permite acompañar el crecimiento de nuestra organización (escalabilidad) y adaptarse a los nuevos requerimientos (complejidad).
Puesta en marcha
La puesta en marcha de la estrategia es poner todos los mecanismos y procedimientos sugeridos funcionar en el entorno real, pasando de la teoría a la práctica. Es altamente recomendable realizar una primera fase en un entorno de prueba, siempre y cuando los recursos tecnológicos con los que contamos así lo permitan.
Este entorno de experimentación deberá tener similares características a nuestro entorno real de producción, de esta manera podemos analizar de manera más fiable la respuesta del mismo a los cambios introducidos al implementar las herramientas sugeridas por la estrategia de ciberseguridad. Veremos de manera anticipada y segura como se comporta nuestro ecosistema digital al introducir las nuevas restricciones de seguridad informática.
Si nuestra plataforma tecnológica es basada en servicios en la Nube, la creación del entorno de prueba no será una tarea difícil, en caso contrario y de no contar con recursos locales con la suficiente capacidad como para replicar un mini-entorno productivo, mi sugerencia es que evalúen contratar servicios en la Nube para esta tarea específica.
Monitoreo , control y mejora continua (Evolución).
Una vez finalizada la puesta en marcha comienza una etapa que en mi opinión y la de muchos es la más extensa y de más larga duración, el monitoreo constante y la mejora continua de nuestra estrategia de ciberseguridad. El día a día nos exigirá, dependiendo de la complejidad de nuestro ecosistema tecnológico, tener una noción precisa del estado de salud en aspectos de seguridad informática, es por eso que debemos contar con indicadores que nos permitan medir la efectividad de las herramientas desplegadas para prevenir y minimizar el impacto de los ciberataques.
Puesto que la soluciones implementadas necesitan de tareas de mantenimiento para su óptimo funcionamiento y su constante actualización, vuelvo a remarcar que debemos tener muy en cuenta que, en cuestiones de ciberseguridad, el escenario es muy dinámico dado que las amenazas suelen estar en continuo estado de evolución y esto obliga a que nuestros sistemas y medidas de protección también lo estén, con el objetivo de estar a la altura a la hora de responder ante la ocurrencia de un incidente de seguridad informática.
Conceptos Claves
Podemos rescatar algunos conceptos claves para ayudarnos a entender el espíritu de las estrategias en ciberseguridad:
Teniendo en cuenta que todo se desarrolla sobre un escenario dinámico, tanto el de nuestra plataforma tecnológica de negocio como en la aparición de nuevas “ciberamenazas” , la estrategia debe tener muy en cuenta estos dos motores de cambio y analizar la versatilidad y escalabilidad de las herramientas seleccionadas para la protección de nuestros activos informáticos.
No descuidar el factor humano, dado que gran parte de las amenazas utilizan la explotación del mismo para ganar acceso a información y sistemas, la capacitación y concientización constante son herramientas necesarias para minimizar los riesgos inherentes a este factor.
Por último, como todo proceso al que sometemos a la mejora continua, las estrategia de ciberseguridad debe plantearse en forma circular, planeando, actuando, evaluando y volviendo a planear (recalculando)
En conclusión, a la hora de planificar los aspectos de la ciberseguridad es imprescindible contar con una estrategia solida que fije un rumbo bien definido.