Resulta agradablemente perturbador observar que el término “ciberseguridad” o “seguridad de la información” cada vez se refleja de manera más cotidiana en las búsquedas de Google.
En la gráfica superior podemos ver como el término Ciberseguridad tiene un interesante comportamiento basado en los datos que nos arroja Google Trends, sin embargo, esta tendencia en comparación a lo que vemos en la realidad dista mucho; y es que un gran porcentaje de la PyMES mexicanas no tienen como parte de su estrategia empresarial algo mínimo que se le parezca a implementar un sistema de gestión de seguridad, esto es muy grave y preocupa como país.
Hace unas semanas en el senado de la república se propuso una iniciativa de Ley denominada “LEY DE CIBERSEGURIDAD” la cual ocupo como referencia porque como todas las leyes hechas en modo express distan mucho de cumplir su objetivo, y esto es debido que no se consideran las condiciones reales y necesarias para que su puesta en operación cumpla realmente sus expectativas generales y particulares.
Por otro lado como consultor en seguridad de la información estoy observado una tendencia que hasta el año pasado no se había manifestado, y es que los grandes corporativos están solicitando a las PyMES y profesionistas independientes una serie de requerimientos relacionados con la Ciberseguridad y sus respectivos controles que deben establecer y documentar como medidas primarias para la protección y tratamiento de los datos, y esto lo veo como una medida bastante severa para muchos considerando la falta de información y formación en este rubro.
Con o sin la aprobación de esta Ley que menciono sin duda las PyMES y profesionales independientes deben poner manos a la obra y comenzar a gestionar su pequeño pero útil “SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN” que además de formar parte de los requisitos de contratación por parte de sus clientes, es una estupenda oportunidad para dar cumplimiento a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, Ley que ya desde hace algunos años es de cumplimiento obligatorio en México para empresas y personas que manejan información considerada como dato personal.
¿ENTENDER UN POCO DE QUÉ VA?
Afortunadamente en esta época de la información se cuenta con material gratuito para comenzar a aprender acerca de este tema, que ya es de gran importancia para cualquier PyME y profesionales independientes y deja de ser un tema exclusivamente para grandes corporativos. Como ejemplo existe un Framework gratuito que publica la organización NIST en Estados Unidos, este documento considera 5 principios fundamentales que toda empresa grande o pequeña debe tomar en cuenta como parte de su estrategia de seguridad de la información y que a continuación voy a describir sin menos cabo que en futuras publicaciones vaya proporcionando material útil para ti o tu empresa.
PASO 1: IDENTIFICAR
Como en nuestra vida cotidiana no podemos proteger algo que no sabemos que tenemos, es necesario contar con un inventario de los elementos que utilizamos para nuestro trabajo diario, estos muchas veces se tratan de elementos tecnológicos, por ejemplo: computadoras, servidores, servicios de nube, aplicaciones, móviles, etc y no solo estos elementos digitales o tecnológicos son importares, también debemos considerar aquella información impresa que debemos proteger de algún posible daño. Es indispensable como primer paso contar con un inventario de “activos” de información que debamos proteger.
PASO 2: PROTEGER
Ahora que tenemos identificados esos activos de información debemos evaluar los riesgos a los que están expuestos, por ponerte un ejemplo más cotidiano: si tenemos un auto tenemos el riesgo de sufrir un accidente, de que te lo roben, etc entonces para mitigar esos riesgos uno toma medidas preventivas para conducir de manera adecuada, no dejar el auto en la calle o una medida aún más efectiva es disponer de un seguro de auto; así es como debe verse respecto a la protección de nuestros activos donde almacenamos o procesamos información, por ejemplo para una computadora el disponer de un software Antimalware reducirá el riesgo de ser atacados con algún ransomware o algún otro malware, guardar la información impresa como cheques o facturas en un lugar bajo llave o en una caja fuerte será una manera de reducir el riesgo a que esta se dañe por alguna agente interno o externo.
PASO 3: DETECTAR
Además de los 2 pasos anteriores debemos considerar medidas de detección de algún posible evento o incidente de seguridad, al tener instalado un antimalware especializado este tiene la característica por ejemplo de detectar si un dispositivo de almacenamiento USB contiene algún programa que pueda dañar nuestra computadora y evita su ejecución, si este mismo software tiene la funcionalidad de identificar un sitio malicioso en internet de igual forma se trata de una herramienta de detección y no se diga por ejemplo de un Firewall el cual en su función más básica permite identificar y detener posibles ataques a la red de tu oficina o casa y en algunos casos implementando un firewall personal evita un ataque directo a tu computadora. Siempre es importante contar con medidas de detección para tomar acciones antes de que sea demasiado tarde.
PASO 4: RESPONDER
No todo es prevención, si se ha presentado un incidente de seguridad debemos tener la capacidad de responder ante ese evento y continuar funcionando bajo las condiciones más normales como sea posible; esto va muy de la mano al término de la resiliencia en términos de negocio
https://es.wikipedia.org/wiki/Resiliencia_tecnol%C3%B3gica_en_el_arte
PASO 5: RECUPERAR
Si nada funcionó o se actuó cuando ya fue demasiado tarde y el atacante fue más listo que nosotros, no queda otra cosa más que RECUPERAR. Frente a un INCIDENTE de ciberseguridad las preguntas son: ¿Respaldamos nuestra información? ¿podemos recuperar nuestra información? ¿Tenemos la capacidad de recuperar? Si no lo hemos logrado debemos aprender, mejorar y obtener lecciones para eventos futuros.
Créditos: Ignacio Sotelo
