Continúa de Pecados capitales de la seguridad para PyMEs (parte I)

Pecado número 2: Los incidentes de seguridad ocurren y deben corregirse

Los esfuerzos que los diversos integrantes de la organización realizan con respecto a incidentes de seguridad suelen ser desequilibrados, en comparación con las buenas prácticas recomendadas.

Se dice que la seguridad debe contar con medidas para los tres momentos de un ataque: antes, durante y después. El antes refiere a la prevención, a cualquier medida dedicada a evitar que un incidente ocurra. En esta categoría se incluye, por ejemplo, un software de seguridad antivirus como ESET NOD32 y ESET Smart Security , o un control de acceso autorizado. El después refiere a cualquier control existente para recuperar la información y el estado de los recursos en caso que ocurra un incidente. Por ejemplo, una copia de seguridad no evita el incidente, pero en el caso que cierta información sea comprometida, ésta podrá recuperarse en un estado razonable. Los controles restantes, el durante, son aquellos dedicados a la detección de incidentes. En el caso que cierta información sufra algún ataque, es importante poder detectarlo, y para ello es necesario contar con controles de este tipo. En esta categoría se incluyen, por ejemplo, detectores de intrusos o herramientas de auditoria y control de cambios sobre un sistema.

A pesar de que una correcta gestión de la seguridad debe incluir todos los tipos de medidas mencionadas, hay una falsa creencia respecto a la importancia con la que éstas deben ser consideradas. La prevención debe ser, ante todo, el eje de cualquier estrategia de seguridad.

En las PyMEs es un error frecuente la naturalización de los incidentes. Esto implica la asignación de muchos recursos para la resolución de incidentes en proporción con los recursos asignados a la prevención. Por ejemplo, en la prevención contra códigos maliciosos, es frecuente que estas organizaciones dediquen muchas horas de soporte técnico a la reparación de equipos infectados, en lugar de contar con un software de seguridad correctamente instalado en toda la red que prevenga las infecciones.

A largo plazo, los costos de prevención suelen ser menores que los costos de remediación, y claramente disminuyen los riesgos de manera notable. Es por esto que, en la asignación de recursos, la prevención debe ser prioritaria. El mejor incidente es aquel que no ocurre, y para ello las medidas de seguridad en la empresa deben estar preparadas para la prevención.

Conclusión

Implementar de forma exitosa  programas de seguridad de la información en las PyMEs es una tarea compleja, ya que las brechas tecnológicas son amplias  en comparación con las grandes empresas.

Contemplar todos los puntos necesarios para un plan correcto de seguridad es delicado cuando los recursos y el conocimiento en la materia son escasos, como suele ocurrir en pequeñas y medianas empresas. En ese contexto, suelen ocurrir los errores descritos en el presente artículo.

Sin embargo, lo que parece una tarea difícil es en realidad la suma de una serie de medidas organizadas, que son posibles de llevar a cabo si son incentivadas desde los cargos más jerárquicos de la organización, y son acompañadas con el compromiso de todos los integrantes de la misma.

La seguridad de la información es un proceso continuo donde cada etapa debe ser fuente de mejora para la siguiente. A pesar de los inconvenientes ya mencionados, este proceso es posible en empresas PyMEs, si se realiza con el compromiso y la convicción de que la información es un bien de valor, y que por lo tanto, debe ser protegido.

Para más información, consulte el curso on-line “Seguridad para PyMEs” disponible en la Plataforma Educativa de ESET Latinoamérica.

Puede ver el artículo completo en el Centro de Amenazas de ESET Latinoamérica.

Sebastián Bortnik
Analista de Seguridad