Asegurar la Continuidad de Negocio, el objetivo de la Seguridad.
La Seguridad ya no se limita a proteger los activos de una red. Prevención y gestión del ataque y el fortalecimiento de nuestra capacidad de resiliencia son objetivos fundamentales de la Seguridad actualmente. ¿Estamos tomando las decisiones correctas para lograrlo?
Hoy son mucho más visibles las consecuencias de un ataque informático. Es muy común escuchar la frase de “hay dos tipos de empresas, las que han sido “hackeadas”, y las que no saben que lo han sido”. Y esta realidad, la vemos en nuestro entorno y en las noticias todos los días.
La generalización de los ataques es un hecho, pequeñas, grandes, medianas, todas las organizaciones o particulares pueden ser víctimas de ataques y lo son. No necesariamente muy sofisticados, pero que buscan esencialmente un provecho económico, dañando en muchos casos el patrimonio presente o futuro de la víctima y que afectan la continuidad normal de su negocio.
Desde hace varios meses podemos identificar patrones verticalizados de ataques por sectores de actividad. Ocurre que no todas las industrias padecen de las mismas amenazas; porque la forma de hacer daño y el valor de los activos de cada industria o sector es diferente
Podemos extraer dos conclusiones, que nos hacen replantear los conceptos de protección actuales y los propios fundamentos de la seguridad:
1. El concepto de seguridad está cada vez más asociado a una gestión de riesgos y mitigación de efectos. – este punto parece evidente, pero si estudiamos las inversiones de nuestro entorno es muy común encontrar que el 80% o más de nuestra inversión en seguridad plantea una protección contra el ataque y no una mitigación del riesgo y efectos asumiendo que algunos de esos ataques van a tener un efecto persistente
2. La importancia de la seguridad y especialización de nicho. No necesariamente lo que necesita un Banco por ejemplo es el mismo tipo de tecnología que necesita una Administración Pública. No obstante es muy común encontrar el mismo tipo de protección en redes con patrones de ataque o riesgo totalmente diferentes.
El hecho de que los ataques sean persistentes, y como dice el Ponemon Institute tardemos en media 7 meses en descubrirlos, hace con que su bloqueo sea sólo la punta del iceberg de la seguridad.
Es considerable el crecimiento de inversiones en tecnologías que protegen las organizaciones de los ataques mientras se producen y en poner los cimientos de la capacidad de recuperación de la normalidad.
Cuándo la protección deja de tener una fiabilidad plena y las probabilidades de que nuestros sistemas y activos queden comprometidos, el concepto de seguridad se amplía de protección a resiliencia: la capacidad de recuperación frente a la adversidad o al desastre.
Aun no estando certificado por la ISO es fundamental que tengamos nuestro plan de contingencia, previendo la capacidad de recuperación de nuestros activos.
• ¿Qué hacer si un activo se extravía? ¿De qué forma dejamos protegida nuestra empresa? Si es un activo físico, podemos incorporar herramientas de seguimiento con GPS? Si es un documento un IRM como Sealpath; etc…
• ¿Qué hacer si borran nuestros datos o piden un rescate para que los recuperemos? Tenemos sistemas de BackUp.
• ¿Qué hacer si un dato confidencial se publica?…
Dibujar el plan detallado de recuperación frente a todos los desastres y situaciones que puedan ocurrir.
La planificación de la seguridad debe pasar por una evaluación de riesgos y consecuencias equilibrada entre el pre-ataque; el ataque y el pos ataque como las que podemos ver en la tabla adjunta.
Si definimos y cuantificamos el riesgo será mucho más fácil por un lado justificar inversiones y reducir realmente los riesgos para el negocio en caso de un ataque.
Parece claro que proteger no es el único concepto que debemos tener en cuenta a la hora de invertir en seguridad. Otros conceptos como detectar el ataque, mitigar sus efectos o armar nuestra organización con los medios para recuperar la normalidad y productividad, son igualmente importantes y además cambian el concepto de “protección de seguridad” para el de “seguridad de continuidad de negocio”.
Joao.matos@biztheworld.com
Biz The World y sus socios, están preparados para ayudarle a realizar este tipo de análisis.Contacte con nosotros si está interesado en conocer más.