Recientemente se publicó un conjunto de buenas prácticas de seguridad para la industria automotriz, debido a que la tendencia hacia la conectividad de los autos, además de presentar mejoras tecnológicas, conlleva riesgos de seguridad asociados a los vehículos, la información e incluso los pasajeros mismos.
Lo que hoy se considera seguro puede no serlo en un tiempo
En el mismo sentido, hace algunos días también se publicó una actualización a las buenas prácticas para la Seguridad de la Información descritas por Information Security Forum (ISF). Los cambios incluyen temas esenciales y emergentes, como gobierno de seguridad de la información, privacidad de datos, auditoría, dispositivos móviles o seguridad en la nube.
Por estas razones y dada la importancia de los marcos de referencia para la seguridad de la información, a continuación se abordan algunas consideraciones para la implementación de buenas prácticas, en busca de aumentar y mejorar los niveles de protección de los dispositivos, la información, los negocios e incluso la integridad de los usuarios.
Buenas prácticas, definición y características
Las buenas prácticas son un conjunto de acciones, metodologías, herramientas o técnicas que han sido aplicadas y probadas en un contexto determinado, con resultados considerados como aceptables o exitosos, respecto a los objetivos que se buscan lograr. Por estas razones, son recomendadas y se espera que en situaciones similares puedan generar resultados favorables.
La expresión “mejor práctica” es la consecuencia de una traducción literal del mismo concepto en el idioma inglés: “best practices”. También suelen utilizarse otras expresiones como “buenas prácticas” o “prácticas recomendables”, todas referidas al mismo concepto. A pesar de que suelen ser recomendadas de forma abierta, existen características inherentes a ellas que se deben considerar antes, durante y posterior a su implementación:
- Temporal
El éxito en la aplicación de las buenas prácticas depende de distintos factores, por lo que es posible que los resultados varíen de una implementación a otra. Generalmente, suelen ser el resultado de modas o el uso de tecnologías específicas, por lo que en muchos casos son efectivas solo durante algunos periodos o hasta que una nueva práctica aparece, por ello, deben estar en constante actualización.
El desarrollo de nuevas amenazas o el descubrimiento de nuevas vulnerabilidades también contribuyen a la aparición de nuevas prácticas, ya que lo que ahora se considera seguro puede no serlo en poco tiempo. De la misma manera, la aparición de nuevas tecnologías propicia el desarrollo de otras buenas prácticas; por lo tanto, es probable que lo recomendado en este momento no sea factible en el futuro.
- General
Las buenas prácticas son de aplicación general por naturaleza, lo que significa que se desarrollan para cualquier tipo de organización, sin importar su tamaño o ramo. Existen prácticas para industrias específicas, pero que sin embargo continúan siendo generales para las empresas de dicho ramo. Por lo tanto, un aspecto relevante es que deben ser adaptadas considerando las características, condiciones y necesidades propias de cada industria u organización.
A través de una adecuada adopción, pero sobre todo la adaptación, es posible que tales prácticas ofrezcan los resultados esperados. En este sentido, se busca que sean aplicadas de forma racional y consciente, sin llegar a considerarlas como la solución completa a los problemas, pero si como el punto de partida o de referencia hacia la mejora de los niveles de protección.
- Opcional
Las directrices descritas en los marcos de referencia representan la experiencia y conocimiento acumulado de personas y expertos en distintas áreas, que posiblemente se enfrentaron a resolver problemáticas similares o que buscan evitar la manifestación de posibles riesgos; a través de la aplicación de dichas prácticas pretenden obtener resultados favorables.
Sin embargo, otra característica importante de las buenas prácticas es que son ofrecidas como medidas sugeridas, es decir, no se obliga su implementación y los tomadores de decisiones de cada organización pueden determinar si son adoptadas o ignoradas. Generalmente, esta última decisión se toma a partir de una evaluación de riesgos.
En general, estas características se presentan para todas las buenas prácticas. Su aplicación debería estar en constante actualización, haciéndolas propias para cada necesidad y utilizando aquellas que son requeridas, en un proceso de mejora continua.
El proceso permanente de la seguridad
Las tendencias y el estado actual de las amenazas informáticas determinan las prácticas consideradas en los marcos de referencia, y sin duda, se tratan de un punto de partida hacia la búsqueda del estado ideal de protección de los activos dentro de las organizaciones. Esto se puede trasladar, como lo observamos en el caso de los automóviles, a toda una industria.
Los frameworks sin duda deben seguir un proceso de mejora y actualización permanente, si se considera el continuo avance de la tecnología y el dinamismo de los riesgos asociados a la misma. Por ello, es posible pronosticar el desarrollo y publicación de nuevas ‘buenas prácticas’ para los próximos años, sobre todo debido a la gran cantidad de dispositivos de uso cotidiano que podrán tener acceso a Internet y las industrias específicas que desarrollarán soluciones de uso masivo.
Es un hecho que la tecnología no podrá ser descartada de nuestras actividades, y por el contrario, cada vez estaremos más conectados e interactuando con nuevas herramientas y dispositivos. Por ello, una parte primordial de la seguridad se asocia a aplicar las denominadas buenas prácticas en distintos ámbitos: no solo en las empresas, industrias o gobiernos, sino también como usuarios. Así se puede obtener un mayor provecho de la tecnología, al tiempo que se utiliza de forma consciente, responsable y segura.
