En distintas publicaciones hemos abordado la necesidad de la aplicación de medidas para la gestión de la seguridad, que entre otros elementos como políticas, concientización o asignación de responsabilidades, también considera los planes y metodologías para la aplicación preventiva o proactiva de la seguridad.
Ahora bien, para su desarrollo y aplicación, estos planes necesitan recursos como financiamiento, personal, infraestructura o tiempo, por lo que en algunos casos se dificulta su ejecución, especialmente en las pequeñas y medianas empresas (o PyMEs).
Debido a esto, la presente publicación tiene como objetivo conocer las limitaciones, desafíos, pero sobre todo la manera de sortear la dificultad que puede representar la aplicación de los planes de gestión de seguridad de la información para este tipo de organizaciones. Porque la seguridad para PyMEs también es una posibilidad real, solo hay que saber la forma más adecuada de llevarla adelante.
Consideraciones para la aplicación de planes de gestión de la seguridad
Una de las características que diferencia a las PyMEs de empresas más grandes es la limitación en los recursos asignados a la tecnología. A pesar de ello, la pequeña o mediana empresa puede verse igualmente afectada por distintos riesgos de seguridad, como cualquier otra organización y las pérdidas económicas pueden ser más significativas.
En otras palabras, el hecho de contar con una infraestructura menor no significa que la información que utiliza sea menos importante, y en el mismo sentido, que no deba gestionarse la seguridad. Por lo tanto, el desafío consiste en desarrollar y aplicar planes y metodologías de gestión de seguridad con recursos limitados.
- ¿Se requiere mucho tiempo y personal especializado para evaluar los riesgos?
En el contexto de la seguridad, una medida a tener presente en las PyMEs se relaciona con la identificación y tratamiento de riesgos asociados a la información, al igual que en las grandes organizaciones. En otras palabras, se debe realizar una evaluación de riesgos, que si bien puede considerarse un desafío, puede ser resuelto a través del uso de algún método o metodología.
Por ejemplo, se han desarrollado opciones específicas para organizaciones más pequeñas, como es el caso de OCTAVE-S, pensado para empresas de 100 o menos personas. Surge a partir de la adaptación de métodos originalmente ideados para grandes empresas, como OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) u OCTAVE Allegro. Todas las versiones cuentan con documentación disponible de forma gratuita y emplean un enfoque autodirigido, por lo que la puede llevar a cabo personal sin especialización en evaluación de riesgos.
OCTAVE-S es una variación de este enfoque, que busca adaptarse a los recursos limitados y restricciones que se encuentran de forma típica en las pequeñas organizaciones. Por lo tanto, está dirigida a un equipo interdisciplinario (de tres a cinco personas) reunidos para analizar los riesgos que se relacionan con la información, mitigando la dificultad asociada a las limitaciones de personal.
Además, su estructura (cinco procesos divididos en tres fases para la versión 1.0) claramente es menor a otras opciones, como OCTAVE Allegro (8 pasos divididos en 4 fases), lo que se traduce en una menor inversión de tiempo.
El primer proceso se enfoca en la identificación de información de la organización, seguido de la construcción de perfiles de amenazas que tienen como base los activos, es decir, identificar amenazas y vulnerabilidades actuales para cada activo crítico.
Los siguientes procesos consideran la revisión de la infraestructura de cómputo relacionada con los activos críticos, análisis de riesgos, y finalmente el desarrollo de estrategias de protección y de planes de mitigación. Para ejecutar OCTAVE-S, es deseable que el equipo de trabajo cuente con un conocimiento amplio de los procesos de negocio y de seguridad en la PyME.
- ¿Qué pasos puedo seguir para atender un incidente en una PyME?
Retomando el tema de los incidentes, siempre existe la probabilidad de que alguna organización se vea afectada de forma negativa por este tipo de sucesos inesperados e indeseados. Del mismo modo que otros planes de seguridad, existen opciones enfocadas completamente en PyMEs.
Por ejemplo, se tiene el método de los Seis Pasos desarrollado por SANS Institute, ajustado a las pequeñas y medianas empresas. El primer paso consiste en la preparación y se refiere a la definición previa de las acciones a seguir en caso de que se presente un incidente.
Esta etapa puede comenzar con la asignación del personal que deberá atender el incidente, ya sea alguien que pertenece a la organización o un tercero que pueda proveer ese servicio. Luego, crear las instrucciones a seguir (documentación), conocer las herramientas utilizadas para proveer información relacionada con los incidentes (por ejemplo, registros de sistemas, sistemas de detección de intrusiones, incluso elementos como la sincronización de relojes).
La segunda etapa se refiere a la identificación, donde distintos factores pueden dar la pauta para la identificación de un potencial incidente (por ejemplo el bajo desempeño de los sistemas y de la red), por lo que el personal de la PyME puede ser un agente de identificación.
En función de las instrucciones generadas, llegamos a la fase de contención, en la que como su nombre lo indica, se busca controlar la actividad anormal a través de la realización de los cambios necesarios en la configuración de los sistemas o red. Además, incluye otras actividades como la generación de respaldos.
La etapa posterior es la erradicación, que tiene como propósito remover o eliminar las causas del incidente, así como las consecuencias que haya generado. De esta forma, se puede llegar de forma gradual a la fase de recuperación y finalmente a las lecciones aprendidas.
- ¿Los planes de continuidad solo se aplican en grandes organizaciones?
Otros planes de gestión de la seguridad también pueden ser aplicados en las PyMEs, principalmente porque siguiendo los mismos pasos y requisitos para realizar actividades como un análisis de impacto al negocio (se pueden tener resultados aceptables dentro de las pequeñas y medianas empresas, con la principal diferencia de que el alcance se reduce considerablemente.
Esto se debe principalmente al hecho de que la complejidad entre procesos, así como las interacciones entre los mismos, es menor con relación a empresas de mayor tamaño. Por lo tanto, es muy probable que la cantidad de activos disminuya, acotando la recuperación y/o la continuidad de las operaciones, así como el tiempo dedicado al desarrollo y aplicación de estas medidas.
En general, hemos observado que existen opciones de seguridad enfocadas en pequeñas y medianas empresas, pensadas en facilitar la aplicación al considerar actividades de menor complejidad y que por lo tanto requieren menos tiempo y menos especialización. Además, es posible aplicar los planes de gestión siguiendo los mismos métodos, con la particularidad de reducir el alcance.
A partir de la relevancia de este tipo de organizaciones para la economía de los países (especialmente para la región), ESET Latinoamérica puso al alcance de la comunidad el curso “Seguridad para PyMEs”, mismo que puede ser accedido de forma gratuita desde la Plataforma Educativa ESET.
Como parte complementaria al contenido del curso, se pueden considerar los puntos revisados en esta publicación, que pueden contribuir a la gestión de la seguridad, un componente clave para un programa de protección de la información en una PyME.