CREANDO UN CASO DE NEGOCIOS PARA UNA SEGURIDAD MÁS SÓLIDA

Al trabajar como consultor externo proporcionado servicios de seguridad a la industria, he observado muchas compañías que pueden manejar su propia seguridad perfectamente bien, y eso me ha dado la oportunidad de enfocarme en temas especializados. Antes de hacer este cambio, trabajé para una pequeña organización de investigación médica y después para una enorme y burocrática agencia de salud pública. En términos de protección de la red e infraestructura, estas organizaciones enfrentaron retos muy diferentes.

Sin importar el tipo de organización, es importante reconocer que nadie gasta dinero en seguridad solo porque “todos sabemos que es algo importante”. Después de todo, lo que es obvio no siempre es verdad. Para la mayoría de las empresas, la seguridad es un centro de costos en vez de un centro de ingresos, y su valor es con frecuencia demasiado intangible para ser reconocido, por basarse en eventos que tal vez nunca sucederán. Así que uno de los grandes retos para asegurar la infraestructura de una empresa es persuadir y crear conciencia en los gerentes para que gasten lo adecuado con el fin de lograr el nivel de seguridad apropiado para la organización.

La construcción de una infraestructura adecuada de seguridad para las necesidades de una organización no solo varía con los riesgos que la empresa enfrenta, sino también con los recursos disponibles para ello.

“Para la mayoría de las empresas, la seguridad es un centro de costos en vez de un centro de ingresos, y su valor es con frecuencia demasiado intangible para ser reconocido, por basarse en eventos que tal vez nunca sucederán”

No todas las organizaciones cuentan con los recursos o las ganas para implementar una iniciativa completa de seguridad, con base en estándares como la administración de proyectos PRINCE o ISO 27001, pero hay organizaciones más pequeñas que pueden aprender de este tipo de aproximaciones. No debe basar su estrategia seguridad en un rango limitado de ofertas prescritas. Identifique los controles que necesita, y después investigue las implementaciones que mejor se adapten a su entorno. No confíe en las panaceas. Por ejemplo, el software especializado puede ser mejor para hacer frente ante amenazas avanzadas persistentes (APTs) en vez de una solución contra malware en el endpoint, aunque esta última puede detener diversas amenazas de bajo nivel que no tienen un objetivo en específico, las cuales por lo general no son detectadas por las soluciones específicas APT. Es bueno contar con una navaja suiza, pero, a veces se necesita una caja de herramientas completa.

“Es bueno contar con una navaja suiza, pero, a veces se necesita una caja de herramientas completa.”

Un gran número de acontecimientos pueden construir un caso de negocios para desarrollar una seguridad con mayor fortaleza. A veces, el detonante es una brecha de información de alto perfil que se origina por controles inadecuados de seguridad. A mediados de los años 90, antes del surgimiento del sistema operativo OS X, cuando el malware de todo tipo era mucho más común, el presupuesto para adquirir un antivirus para Mac estuvo disponible de manera mágica donde trabajaba, después de que limpié varios macro virus del equipo portátil de mi jefe. Sin embargo, ser el ‘Casandra’ de la compañía no es siempre la estrategia más segura. A veces estar en lo correcto, sin ser persuasivo es una ofensa que se puede castigar. Permítame presentarle el primer principio de la administración de seguridad del profesor Eugene Spafford: “Si usted tiene responsabilidad en cuanto a la seguridad, pero no tiene autoridad para imponer reglas o castigar a quienes la infringen, su propio rol en la organización será culpable cuando algo grande salga mal”.

Idealmente, una organización reconocería la necesidad de construir una infraestructura más segura antes de que una gran fuga de información suceda, y no después. Las consecuencias pueden variar desde ser sujeto a una acción legal en contra y multas por no cumplir con los requerimientos para evitar la exposición de datos críticos, y eso puede generar el cierre completo de una operación.

Los conocimientos que se requieren para ensamblar y presentar un caso de negocios para lograr una mayor seguridad son comúnmente diferentes a aquellos necesarios para una implementación práctica y la administración de la infraestructura de seguridad. Una gran iniciativa de seguridad por lo general es mejor implementada como un esfuerzo en equipo. Incluso un proyecto relativamente pequeño, como la transición de un paquete de seguridad en los equipos de escritorio, puede tener extensas implicaciones si se cuenta con la experiencia de solo una persona del área de tecnología. El éxito será mayor con una planeación basada en una evaluación de riesgos meticulosa, funciones y responsabilidades claras, y objetivos realistas.