Recomendaciones de Seguridad Informática para Empresarios

El experto Rafael Ausejo Prieto, gerente de Inteligencia y Ciberseguridad de la compañía A3SEC, empresa enfocada en Big Data para Ciberseguridad, Monitorización, Inteligencia y Prevención de Fraude, nos brinda algunas recomendaciones de seguridad para los empresarios.

Rafael Ausejo Prieto, gerente de Inteligencia y Ciberseguridad de la compañía A3SEC.

1. El primer paso a la hora de tomar medidas de seguridad es precisamente la realización de un Inventariado de los Activos de Información a proteger. Dependiendo del tamaño de la organización y de su evolución en la madurez de su Sistema de Gestión, esto puede realizarse de varias formas. Desde una simple hoja de cálculo enumerando los sistemas, con el mapa actualizado de la arquitectura topológica de sistemas y aplicaciones, o con plataformas de autodescubrimiento y supervisión de la infraestructura actualmente desplegada, que verifiquen su existencia mediante la red y permitan modelar los procesos de negocio basados en cómo estos activos de información dan soporte a cada proceso de negocio, actualizando los resultados en una base de datos centralizada denominada CMDB. Este proceso suele realizarse mediante una Auditoría de Inventariado y Descubrimiento de Sistemas.

2. Una vez se dispone del inventariado inicial, un proceso de Análisis de Riesgos permite determinar las amenazas que afectan a cada activo, la probabilidad de que éste sea afectado y calcular su impacto cualitativo en el negocio, repercutiendo los riesgos de forma jerárquica hasta establecer los umbrales de negocio en que el riesgo es aceptable. Parte de este proceso de Análisis de Impacto en el Negocio, es de utilidad directa para la realización de Planes de Continuidad de Negocio y sus respectivos Planes de Recuperación ante Desastres.

3. La implantación de un Sistema de Gestión de Seguridad de la Información formaliza el umbral de riesgo aceptado por la Dirección; realizando esa gestión del riesgo mediante el desarrollo de un Plan de Acciones Correctivas que supone la implantación de controles en aquellos puntos donde el riesgo supere dichos umbrales. Este proceso suele ser certificable, por ejemplo contra la norma ISO 27001, así como la mayor parte de regulaciones nacionales (relacionadas con protección de datos), sectoriales (especialmente en sector financiero, como PCI-DSS 3.1, Basilea III o Solvencia II) o específicas de la organización, como por ejemplo Sarbanes Oxley o HIPPA en caso de disponer de sedes en USA.

Algunos controles compensatorios mínimos son tan obvios que no requieren esperar a que el Plan de Acciones Correctivas priorice los proyectos a abordar y pueden comenzar de forma inmediata, como por ejemplo la implantación de un sistema de seguridad perimetral, de plataformas de protección antivirus y de un proceso de actualización de versiones de los sistemas.

4. Cuando la orientación del negocio o servicio de la organización está muy desarrollada en Internet (por ejemplo Servicios Bancarios Online, Compañías de Seguros, Operadoras de Comunicaciones, o Servicios Públicos para la tramitación online de gestiones ciudadanas) el mayor elemento de riesgo puede suponer el fraude transaccional. Para ello la aplicación de las Nuevas Tecnologías para la Prevención del Delito están siendo muy útiles en estos entornos, así como cuando se maneja información confidencial y un gran número de datos, algo que ha ayudado a desarrollar mejores modelos y esquemas de fraude. En entornos policiales, también es ahora posible realizar de forma predictiva la comisión de posibles delitos en grandes núcleos urbanos.

5. Por último, cada vez más organizaciones cumplen las recomendaciones anteriores, basadas en información interna, pero olvidando el ecosistema en el que operan. El Big Data está ayudando en la generación de Inteligencia para algunos sectores, como bancario, industrial y policial.

Esta visión holística de la aplicación de la tecnología en la generación de inteligencia facilitará la toma de decisiones dentro de las organizaciones al conocer con anticipación potenciales amenazas externas que les puedan afectar, o incluso posibles ventajas competitivas antes que sean aprovechadas por la competencia.