Ramón Santocildes, director de la unidad de negocio SME de COLT Telecom, nos ofrece su visión sobre el cumplimiento de las políticas de seguridad.
¿Tiene su empresa un protocolo específico relativo a la seguridad de los datos? Si es así, ¿quién tiene la primera responsabilidad por el cumplimiento de esta política? ¿Y cuánto tiempo dedica al mes a analizarla en las reuniones de la alta dirección de la empresa?
Estas son las primeras preguntas que las empresas han de hacerse a la hora de valorar su nivel de preparación ante posibles riesgos o amenazas para la seguridad de los datos críticos.
Vista la importancia fundamental de los sistemas informáticos para la continuidad del negocio, a veces sorprende la cantidad de empresas que siguen percibiendo la seguridad como algo complementario, o incluso opcional para el negocio. A medida que aumente la complejidad de las infraestructuras, crece la necesidad de entender la seguridad no sólo como un conjunto de tecnologías-, cortafuegos, antivirus, etc.-, sino como una cultura que tiene que extenderse a toda la plantilla, desde la más alta dirección hasta el último empleado. Y aún más si tenemos en cuenta que los cambiantes hábitos, la mayor flexibilidad y movilidad en el trabajo exponen a las empresas a un mayor número de riesgos.
La gestión de la seguridad es compleja, y no sería posible enumerar en este artículo todas las medidas que se pueden adoptar para reducir al máximo las vulnerabilidades para el negocio.
La estrategia que se adopte depende en gran medida del tipo de empresa, y de la configuración tecnológica. En una pyme, por ejemplo, en la que se prime la movilidad de los trabajadores, el teletrabajo, y la utilización de portátiles, PDA, etc. las políticas tendrán que establecer controles de acceso para estos dispositivos, y evitar que la red sea infectada por código malicioso. En las empresas más grandes, en cambio, muchas veces son los dispositivos ajenos a la empresa, por ejemplo de los clientes o proveedores, los que suponen un mayor riesgo potencial. Por la misma razón, hace falta una gestión correcta de los cambios en la organización. Desde luego, puede parecer una obviedad, de todas formas, según una encuesta realizada en 2005 en Estados Unidos, el 59% de las infracciones de seguridad de las empresas fueron realizadas por empleados que ya no trabajaban allí.
Aunque la empresa cuente con conocimientos internos en materia de seguridad, es necesario mantenerse al tanto de los cambiantes retos o amenazas para la organización. Para ello, es recomendable contar con un especialista externo, quien realice análisis regulares y profundos de la situación de la seguridad en la empresa.
De esta forma, se asegura que se identifiquen posibles futuras amenazas desde el primer momento, lo que permite adoptar un enfoque proactivo relativo a la gestión de los sistemas de informática y telecomunicaciones, en vez de esperar hasta que el daño ya esté hecho. Así mismo, hay que asegurar que las aplicaciones de seguridad (antivirus, cortafuegos, etc.) se actualicen de forma regular, y que los datos estén almacenados de forma segura.
Para que las empresas realmente estén seguras, por lo tanto, es necesario tomar medidas en tres frentes: Primero, asegurar que las políticas sean controladas y lideradas por los principales responsables de las empresas, quienes tienen la suficiente autoridad para asegurar que éstas se implementen correctamente y para conseguir que una cultura de seguridad se extienda por todos los empleados de la empresa; segundo, contar con todo el asesoramiento necesario, sea éste interno o externo; y por último, adoptar un enfoque proactivo ante cualquier futura amenaza.
No tiene que ser una tarea difícil. Depende, principalmente de un cambio de mentalidad de manera que la seguridad informática se convierta en una de las primeras prioridades estratégicas del negocio.
