Cómo ser puntero en ciberseguridad siendo mediana compañía
Desde 1998 se celebra el Día Mundial de la Seguridad Informática y en muchos casos seguimos comos si estuviéramos en la misma década.
Día Mundial de la Seguridad Informática, -¡guau! qué pasada…- me dice un compañero de IT cuando se entera de que existe un día dedicado a “esto” de la seguridad informática, - “no pensaba que ya se hubiera hecho tan relevante el asunto como para ponerle un día internacionalmente”- me comenta. Pues bien, aún “flipa” más cuando le comento que es desde el año 1998 (ya 20 años) cuando se celebra … sí, señor … y en muchos casos seguimos como si estuviéramos en la misma década.
Hace unos años (3-4) utilicé un informe de Cisco donde se decía que “durante los últimos 10-12 años somos igual de torpes a la hora de reaccionar ante una amenaza” … y visto lo visto, reunión tras reunión en estos tres últimos años de mi actividad como consultor, reafirmo esa frase y la apuntalo introduciendo el valor de la experiencia encontrada, que además de igual de torpes, en muchas ocasiones tenemos la misma preocupación que antes, tendente a cero.
Y para acompañar esta reflexión, me gustaría compartir con vosotros el entusiasmo que me invade cuando últimamente en 3 de cada 5 reuniones en las que se trata de seguridad IT en compañías medianas (mucha PYME española), ya sí se tiene claro a quien le ha caído el “marrón” de ocuparse de la seguridad IT de su empresa. A la persona elegida, en muchas ocasiones, no le hace mucha ilusión, pero que se haya asignado esta responsabilidad, ya es un gran adelanto. Aunque esto no suele reflejarse económicamente. De ese porcentaje de compañías, el 50% no han asignado partida presupuestaria para dicho cometido. Comprensible, ya que no tienen mucha idea de cómo comenzar o bien realmente creen que es más una obligación corporativa que un posible valor para su propio negocio.
Más de la mitad de las compañías desconocen los riesgos en torno a sus sistemas
Como decía mi abuela: “¡Menos es na´!”. Comenzamos a trabajar con esa compañía mediana y su responsable en seguridad asignado. Nos encanta ver cómo nos escucha. Ávido de que alguien le entienda y le haga caso, empatizas tanto con él que realmente te conviertes en su compañero de fatigas. Comienzas con los básicos: hay que hacer una foto de la situación actual, lo que se traduce en una “Auditoría de Seguridad IT” que nos permita vislumbrar los niveles de seguridad aportados por la arquitectura que está operando y los procesos que lo acompañan. Poco después, y como fase primordial, se debe realizar un “Test de Vulnerabilidades” de casi todos los servicios. Y, seguramente, un “Test de Penetración” sobre aquellos que son clave en los procesos de producción de la compañía, para profundizar en el análisis.
Como resultado obtenemos un perfecto “Plan Director de Seguridad”, o, como mínimo, un borrador del mismo. Un documento donde declaramos la situación presente y la declaración de intenciones de mejora de los sistemas y procesos de seguridad que implantaremos en unos años vista (por ejemplo, tres). Con esto, el responsable de IT ya tiene algo con lo que subir a dirección para pedir partida presupuestaria, y un argumento claro por el impacto en el negocio que tiene el riesgo que ha descubierto. Sí, sí, el riesgo que ha descubierto. Porque realmente esas 3 de cada 5 compañías, es que ni siquiera conocían el riesgo al que está expuesta diariamente su empresa.
Panorama nacional respecto a los ciberataques
Según fuentes del Instituto Nacional de Ciberseguridad (INCIBE), España es el tercer país que más ciberataques sufre (detrás de EEUU y Reino Unido). Durante el 2016, los ataques registrados hasta septiembre de ese mismo año (90.000) doblaban ya los que se atendieron en todo 2015.
Si somos atacados es porque somos “atractivos” y “facilones”. España tiene una fuerte infraestructura de comunicaciones, sin embargo, nuestro grado de madurez en protección y concienciación aún no son muy elevados. Como consecuencia de ello, se abren dos vertientes para los “atacantes”: nos usan para atacar otros destinos y nos atacan para robarnos.
La PYME también merece “cibersegurizarse”
Después de esas fases, en las que cuesta “evangelizar” que es necesario acometer el estudio antes de apilar tecnología de defensa, ya nos encontramos con material con el que trabajar y poder realizar las adecuaciones necesarias: implantación de equipamiento, servicios específicos de ciberseguridad y cibervigilancia, procesos y servicios de respuesta ante incidentes, etc.
Una cantidad de operaciones que las compañías medianas ven muy lejanas, como si fuera un tema exclusivo de las empresas del IBEX. Y realmente ha sido así hasta hace unos pocos años. No obstante, en la actualidad, muchas compañías hemos construido servicios gestionados que nos ofrecen economías de escala para poder proveerlas a las medianas, y así transformar sus capacidades en las mismas. En ocasiones, tengo que admitir que incluso mayores que las de una de esas que juegan en la liga del IBEX.
No hay que asustarse cuando se habla de que en las PYMES hay que implantar productos y servicios destinados a “alerta temprana de ciberataques”; a “respuesta y remediación ante incidentes”; o a alimentación de “vigilancia digital” para reaccionar ante un impacto o, incluso, anticiparse al mismo.
Las actuales compañías de servicios de ciberseguridad, estamos amoldando nuestros servicios para esa banda de compañías que suponen más de un 80% en España. Llevamos servicios “premium” de ciberseguridad a las compañías que lo necesitan y que creían imposible tenerlo hasta ahora.
Más tarde, si a todo esto le incorporamos la capacitación de los responsables de las compañías, a través de planes de formación específicos (hacking, gestión y buenas prácticas, etc.) y, además, sesiones de concienciación para sus empleados y, mejor aún, para sus directivos, la cosa comienza a rodar.
5 pasos para poner a salvo tu empresa
Con toda esta reflexión, y para hacer una recopilación, escribamos una primera receta con cinco puntos claves:
1.- CONOCE EL RIESGO DE TU COMPAÑÍA: Realiza una auditoria de seguridad IT y úsala para mapear riesgo de negocio con flaqueza de tus sistemas IT.
2.- OPTIMIZACIÓN Y RENTABILIDAD: (Imprescindible) Utiliza ese informe para que la dirección de tu compañía determine claramente el valor que tiene la mejora de la seguridad en los sistemas y procesos.
3.- IMPLEMENTACIÓN A LA ALTURA: Afronta cada una de las prioridades incorporando equipamiento específico. Y no te olvides de acomodar el proceso que lo acompaña y de gestionarlo. No implantes herramientas que no vayas a poder gestionar. Si estás en esa tesitura, de no tener recursos para gestionarlo, apuesta por un “servicio gestionado” de una compañía especialista en ello. La fortaleza no es la infraestructura que implantes, un porcentaje muy alto se debe a “cómo la gestionas”.
4.- FÓRMATE Y FORMA A LA COMPAÑÍA: Ten conocimientos, al menos base, que te dejen ver las cosas con perspectiva. Y conciencia a los empleados y directivos de tu compañía, ellos son “el eslabón más débil”. Además, si el director está al corriente, él sabrá tu cometido y te asignará partida presupuestaria para llevar a cabo lo necesario.
5.- CIBERSEGURIDAD PARA TODOS: No te limites en el pensamiento de “esta tecnología es para las grandes compañías”, eso era en otra década. Habla con especialistas y acomoda el servicio que necesites, en la actualidad, con la explosión del Cloud y la transformación digital, casi todo se puede ofrecer en modalidad “aaS”o “Managed”.
El autor de este artículo es José María Ochoa, Area Manager Cibersecurity de OneseQ de Alhambra Eidos.
