Cinco cosas que hacer antes de comprar más tecnología de seguridad

Comprar más tecnología de seguridad según proliferan las amenazas quizá no sea el mejor modo de proceder si el objetivo es proteger los datos más valiosos de la empresa.

El bombardeo de nuevas ciberamenazas puede llevar a muchos a pensar que comprando más tecnologías de seguridad estarán mejor protegidos. Sin embargo, si todas las tecnologías que una empresa tiene en marcha funcionaran adecuadamente “¿por qué estamos teniendo brechas cada semana?”, se pregunta John Pironti, presidente del proveedor de servicios de seguridad de la información IP Architects, y ponente en el evento Interop, celebrado en Las Vegas a mediados de mayo. “Mi visión es que hemos comprado demasiados productos”.

Para Pironti, las métricas de seguridad son, frecuentemente, de efectividad altamente cuestionable. Apunta que el software antivirus evita, de media, un 30% de los virus. Y algunas tecnologías de seguridad tienen funciones cruzadas. Por ejemplo, encriptar datos que circulan por la red puede evitar que sean leídos por los hackers, pero también los hace invisibles a los equipos de prevención de pérdida de datos. “La tecnología puede añadir costes sin aportar valor”, señala este experto.

Las empresas que se paran, revisan los riesgos, identifican y califican sus datos y desarrollan un plan para afrontar los problemas previsibles, terminarán con mejores defensas desplegadas de forma más eficiente, apunta Pironti, que proporciona cinco pasos a tener en cuenta antes de comprar tecnología de seguridad.

• Desarrollar un perfil de riesgos de la información para el negocio. Esto incluye detectar qué datos tienen determinado valor para la compañía, qué nivel de pérdida es aceptable, cómo afecta la pérdida a los partners y proveedores, y qué controles se necesitarán.

• Trazar un mapa de los procesos de negocio y averiguar cómo se mueven los datos por esos procesos. Determinar qué datos pueden manejarse de una forma más eficiente. Por ejemplo, las bases de datos centrales en lugar de distribuidas pueden reducir la complejidad de la red y, por tanto, mejorar la seguridad.

• Hacer un inventario de activos para determinar dónde están todos los datos corporativos. Quizá sorprenda este consejo, según Pironti, porque puede acabar con dispositivos como los smartphones de los empleados y los tablets. Clasificar los datos y establecer controles para cada tipo.

• Llevar a cabo análisis de amenazas y vulnerabilidades en escenarios que simulen ataques de los adversarios a mi red si conocieran mis vulnerabilidades. Identificar las contramedidas para cada caso. Además, averigüe con qué tecnologías están trabajando sus adversarios de forma que los escenarios de ataque y las contramedidas puedan determinarse de la mejor forma.

• Identifique e implemente los controles apropiados basándose en los cuatro principios anteriores. Considere si los controles cuestan más que el inconveniente de ver comprometidos los datos que protegen. Eduque a sus usuarios en un comportamiento en la red más seguro; por ejemplo, evitando que guarden información sensible en dispositivos portátiles. Y por último, garantícese que los controles no bloquean tareas necesarias para el negocio.