¿Por qué crear una estrategia de seguridad para mi empresa?

¿Mi empresa necesita una Estrategia de Seguridad?

Espionaje, hacktivismo, ciberataques; son algunas de las palabras más sonadas durante el primer semestre de 2017. Ataques a nivel mundial que nos hacen replantear la idea de una estrategia de seguridad a nivel empresa, nacional y a nivel mundial.

México, el país más afectado de América Latina por el cibercrimen, desde 2014 ha comenzado a trabajar en la creación de una Estrategia Nacional de Ciberseguridad, sin embargo, hasta el 2017 se ha iniciado el diseño de esta política. Los días 19 y 20 de abril se realizó el taller «Hacia la Estrategia Nacional de Ciberseguridad»; donde se manifestó la importancia de los derechos humanos dentro del ciberespacio; añadiendo a esto, la OEA reafirmó su compromiso de apoyar al gobierno de México en el desarrollo de su Estrategia

Desde el punto de vista de CSI (Consultores en Seguridad de la Información)

Una estrategia a nivel nacional no será eficaz, si no partimos de lo menos a lo más; si dentro de nuestras organizaciones o empresas, no contamos con una estrategia de seguridad en la información, seguiremos vulnerables a los ciberataques, que día a día aumentan en nivel de riesgo.

Por mencionar algunos incidentes recientes, el pasado 21 de julio de 2017 se dio a conocer la peor fuga gubernamental de Suecia, el error: trasladar toda su información secreta de la nación a la nube (cloud), entre la información sensible que vio la luz tenemos, nombres de pilotos, todos los carnets de conducir de Suecia, datos de protección de testigos, información personal sobre las Unidades de Fuerza, detalles de vehículos militares, entre otra información. Tras toda esta información filtrada se destaca la actitud generalmente descuidad y negligente; la sentencia a este incidente ha sido dar el salario de medio mes, debido a que fue el propio gobierno quien expuso dicha información.

Estrategia de Seguridad

Un segundo incidente que salió a la luz el pasado 8 de agosto de 2017 fue la filtración de 11,000 documentos internos sobre LexNet y Orfila (Organizaciones de España). Este incidente ha sido totalmente un descuido, la información filtrada se encontraba en un servidor con acceso desde Internet completamente abierto (sin contraseña).

El 87% de las empresas en México ha tenido incidentes de seguridad de la información, el costo promedio de un incidente de seguridad es de 1 millón 581,641 dólares; algunas de las empresas solo destinan el 3.87% del presupuesto a ciberseguridad, presupuesto reducido para proteger el activo más valioso de las Organizaciones.

De acuerdo con la experiencia de CSI

Pocas empresas cuentan con una estrategia en seguridad de la información claramente definida acorde a su negocio. Una estrategia debe verse como un proceso más dentro de la Organización. Es importante que todas las áreas sean partícipes, ya que la seguridad no es un problema específico de un área. Se deben crear políticas, procesos y lo más importante implementarlas, mismas que deben ser auditadas para obtener una mejora continua en el proceso.

Es importante dejar en claro que las herramientas tecnológicas son un complemento de la seguridad, contar con un firewall o un detector de intrusos minimizara el riesgo de algunos ataques, sin embargo para estas herramientas deben de existir políticas de actualización de parches, procesos de configuración, añadiendo a esto, es recomendable realizar pruebas de penetración (pentest), con la finalidad de validar y verificar la existencia de huecos de seguridad dentro de la infraestructura tecnológica. Las empresas deben evitar ser juez y parte de las validaciones o auditorias de seguridad, por lo que se recomienda contar con un proveedor, con experiencia que pueda ofrecer asesoramiento personalizado.

Referencias

Hacia la Estrategia Nacional de Ciberseguridad

– Incidentes de Seguridad en México

LexNet y Orfila

– Incidente Suecia

Autor: Veronica Becerra

CSI CONSULTORES

Ayudamos a las empresas, corporativos y entidades gubernamentales a establecer estrategias de seguridad de la información integrales en base a los estándares.