Por Mauricio Jaramillo Marín
maujar@eltiempo.com.co
Manejar la seguridad informática de una organización, se trate de una empresa unipersonal o de una gran multinacional, es tan difícil como tratar de montar un equipo deportivo campeón: usted puede gastar millones en futbolistas de talla mundial, apoyarlos con los mejores médicos y preparadores físicos, brindarles los mejores uniformes y permitir que entrenen en canchas que parecen una alfombra, y aun así, no está exento de que cada una de las estrellas quiera sobresalir y decida ¿lucirse¿ a sí misma en perjuicio del equipo, o que su técnico no las pueda aprovechar y el equipo, finalmente, quede eliminado.
En la empresa, usted puede instalar un excelente antivirus, el sistema de detección de intrusos mejor calificado, un poderoso firewall que controle toda la información que entra y sale de la red, tres sistemas antispam, un software de filtrado de contenidos, y hasta una costosa red privada virtual (VPN). Y, como el directivo del equipo deportivo, también podría ver cómo sus ¿galácticos¿ reciben una paliza, por ejemplo de piratas informáticos, de niñitos aprendices de hacker y hasta de ex empleados resentidos o trabajadores inconformes.
En el campo de la seguridad informática hay algo que hace la diferencia entre un fracasado grupo de estrellas y un verdadero equipo campeón: las políticas de seguridad. Estas son las reglas y procedimientos que regulan la forma como una organización previene y enfrenta los riesgos informáticos (sobre los equipos de cómputo y sus periféricos, el software y el activo más importante, la información).
Las organizaciones que manejan información crítica, como las fuerzas militares, los bancos, las empresas de telecomunicaciones y algunas entidades gubernamentales, son conscientes de la importancia de estas políticas, pero gran parte de las pymes cree que lo más importante son las herramientas, y que lo demás es secundario.
Según Alberto Guerrero, presidente de Etek International, empresa especializada en el tema, ¿si bien las compañías destinan recursos para la consecución de herramientas orientadas a brindar una mayor protección de la información, carecen de procesos de gestión de seguridad alineados con políticas integrales para el tratamiento seguro de la información. Así, impiden la administración efectiva de dichas herramientas¿.
En otras palabras, si no hay una estrategia de juego y unas instrucciones claras, es probable que el mejor jugador del mundo termine quitándole la pelota al gran goleador de Europa, es decir, que sus herramientas de seguridad no trabajen coordinadamente, y por lo tanto no sean efectivas.
Manuel Bustos, gerente general de Etek de Colombia, señala que en Colombia no hay una gran preocupación en las pymes en el tema de seguridad de la información. ¿Cuando se presentan los presupuestos en tecnología, muy pocas pymes escogen invertir en seguridad.
Eso sí, resulta más fácil desarrollar proyectos en empresas que ya han sufrido incidentes, pero las que no han pasado por una pérdida normalmente no entienden la importancia de la seguridad y las políticas¿. No obstante, reconoce que hay mayor conciencia que hace un par de años, y que las empresas empiezan a preocuparse más por el tema y por contratar personal calificado.
La falta de políticas, combinada con la implementación de algunas herramientas, hace que las empresas vivan una sensación de falsa seguridad, estimulada a su vez por proveedores que se limitan a vender productos y no a ofrecer verdadera protección.
"Algunas estadísticas muestran que el 70 por ciento de las instalaciones de seguridad (firewalls, por ejemplo) no tienen actualizaciones, o lo que es lo mismo, no hay seguridad, pero las empresas creen que están protegidas¿, añade Manuel Bustos.
¿Qué son y cómo desarrollarlas?
Estas políticas no deberían ser opcionales. Ricardo dos Santos Marques, ingeniero de seguridad para Latinoamérica de IBM, es contundente: ¿Hoy no tener una estrategia de seguridad ya no es una opción¿.
Para Alberto Guerrero, de Etek, todas las organizaciones, sin importar su tamaño, no sólo deben definirlas, sino también generar un plan de concientización e incluirlas en los contratos laborales, para que sean de obligatorio cumplimiento.
Los proveedores de soluciones en este campo manejan una serie de pasos comunes para que cualquier empresa desarrolle sus propias políticas de seguridad:
- Identifique los activos. Si no sabe qué tiene, ¿cómo puede protegerlo? Valore cada activo (incluso los intangibles) y establezca los niveles de protección para cada uno.
- Identifique las amenazas. ¿Cuáles pueden ser las causas de los problemas de seguridad? Pueden ser amenazas externas (virus, spam, gusanos, incursión de intrusos y ataques de piratas informáticos, espionaje industrial) e internas (¿venganzas¿ de ex empleados, uso indebido de Internet y los sistemas informáticos, entre otras).
- Mida los riesgos. ¿Qué tan probable es que sucedan ciertos hechos puntuales, y cuánto daño pueden causar? Al calcular los daños en cifras, no solo se debe tener en cuenta el valor de los equipos o las aplicaciones, sino el de la información y otros intangibles.
- Arme un equipo de trabajo. A los líderes del área de sistemas y los expertos en seguridad informática ¿o al personal de su proveedor¿ súmeles un asesor jurídico, alguien del área de comunicación y de recursos humanos, y busque un representante por cada área de la organización que se encargue de ayudar a identificar las amenazas.
- Establezca las políticas. Con base en la información recolectada, se pueden redactar los procedimientos y normas. El resultado debe ser un documento conciso, fácil de entender por parte de los empleados, y que no se vaya al extremo de bloquear la productividad en aras de la seguridad.
- Impleméntelas. Establezca los responsables de la difusión y el cumplimiento de las nuevas pautas, y señale los procedimientos para controlar que esto se cumpla. Ajuste las soluciones de seguridad informática a las nuevas políticas.
- Manténgalas al día. Las amenazas de seguridad son cambiantes, y cambiante es la infraestructura tecnológica de las empresas, por lo que las políticas de seguridad, por muy bien hechas que estén, no deben ser estáticas. ¿Las políticas deben ser sólidas, estrictas, pero a la vez flexibles, para que se adapten a las nuevas tecnologías¿, explica Ricardo dos Santos.
- La seguridad no es enemiga de la productividad. Hasta hace algún tiempo, las políticas y herramientas de seguridad peleaban con la productividad de las empresas, pues, por ejemplo, para evitar ataques de intrusos se bloqueaban puertos en la red que se necesitaban para enviar cierta información. Este concepto ha cambiado. Dos Santos señala que la seguridad no puede ser enemiga de la productividad. ¿Antes, los dos conceptos eran antagónicos, pero hoy se debe pensar en implementar seguridad con inteligencia y con plataformas integradas, para que esta, en lugar de frenar la productividad, la soporte¿.
Más ahorros que inversión
Implementar estas políticas puede exigir algunos recursos financieros y humanos para la organización, pero en muchos casos basta con reasignar recursos de la organización. Además, la inversión se recupera con los beneficios que generan.
Las políticas son la herramienta más importante para que las tecnologías de seguridad cumplan su cometido y así se puedan mitigar los riesgos de seguridad de la información, pues ayudan a garantizar la confidencialidad necesaria de la información, mejoran su disponibilidad y confiabilidad, y ayudan a minimizar el riesgo de pérdida de reputación, tiempo, dinero, productividad y acciones legales causados por ataques informáticos internos y externos.
En resumen, usted no necesita el presupuesto del Real Madrid o el Manchester United para armar un equipo campeón frente a los riesgos informáticos. Con un presupuesto razonable y unas acertadas políticas de seguridad que se lleven a la práctica, podrá hacer que sus jugadores ¿el antivirus, el firewall, el software de detección de intrusos y los demás¿ armen un conjunto sólido que pueda ganar campeonatos contra los enemigos de su infraestructura y su información.
Normas internacionales, como la ISO 27002 y la BS 7799, establecen las pautas que las empresas deben establecer. En el siguiente enlace podrá descargar la versión en español de la norma ISO 27002: mmujica.files.wordpress.com/2007/07/iso-17799-2005-castellano.pdf.
Algunas de las políticas sugeridas en estos documentos son:
- Toda empresa debe tener una organización interna y un responsable de la seguridad de la información. De ser necesario, también deberá tener un proveedor que lo apoye en este campo.
- Toda la información de la compañía debe ser confidencial, aunque se trate de información no crítica.
- Todos los recursos informáticos (computadores, redes, teléfonos) deben ser para uso exclusivo en el trabajo asignado, no para asuntos personales.
- Todo el software instalado debe estar debidamente licenciado, con el fin tanto de evitar virus y otros riesgos, como de proteger a la compañía de demandas por piratería de software.
- Todo documento que no se requiera en el corto plazo debe ser debidamente archivado o destruido.
- El acceso a la información, en archivos físicos o electrónicos, debe restringirse exclusivamente a los trabajadores que la necesitan. Esto obliga a las organizaciones, además, a implementar medidas de seguridad para evitar que la información alojada en servidores y computadores pueda difundirse fácilmente, ya sea vía Internet o de medios físicos como memorias USB y discos duros externos.
- Se deben definir los procesos para recuperación de desastres.
- Se debe establecer un esquema de clasificación e identificación de la información para controlar su integridad, confidencialidad y disponibilidad.
- Todos los miembros de la organización deben cuidar sus contraseñas y evitar que estas sean fáciles de adivinar (no deben ser una palabra real, y deben combinar letras, y números y en lo posible, caracteres especiales).
- Los accesos inalámbricos brindan productividad a una organización, pero también pueden abrir boquetes de seguridad. Por eso, se deben tomar medidas especiales; por ejemplo, se debe dar un cuidado especial con las contraseñas de la red inalámbrica, y los equipos que no se utilizan deben desconectarse de la red.
