7 pecados capitales en materia de seguridad de información
La tendencia mundial es hacia la proactividad y la prevención
Si algo tienen en común quienes emprenden un negocio digital es, sin duda, la posibilidad que tienen de ser víctimas de incidentes que pongan en riesgo la información que manejan en sus compañías, ya sean grandes, medianas o pequeñas. Estas amenazas pueden ir desde la infiltración de códigos maliciosos (diseñados para robar datos), ciberespionaje, robo o pérdida de dispositivos móviles con data clave para la empresa y ataques de hackers, entre otros. Estos riesgos no impiden que los emprendedores cometan errores en materia de seguridad, transformando una empresa exitosa en un ente vulnerable a ataques internos y externos, propensa a pérdida de reputación y baja productividad.
ESET Latinoamérica, compañía líder en detección proactiva de amenazas, estuvo presente en el Seminario de Negocios en Internet y Empresa Segura presentando cuáles son los errores más comunes que cometen las compañías.
Los siete pecados capitales:
1.-No definir una política de seguridad
2.-No utilizar tecnología de seguridad
3.-Pensar que la seguridad es solo un problema tecnológico
4.-Utilizar software desactualizado
5.-Terminar proyectos de seguridad
6.-La seguridad informática descansa sobre el personal TI
7.- Pensar que los incidentes de seguridad ocurren y deben corregirse
Para Gustavo Quiñones, Gerente de Soporte y Capacitación de ESET Latinoamérica una de las faltas más recurrente de las organizaciones es no definir una política de seguridad específica. A su vez, es necesario asegurarse de que los empleados la conozcan y la cumplan una vez implementada. “Al empleador no debe bastarle tenerla, sino que además debe verificar que ha sido comprendida, leída, y aplicada”, agregó Quiñones.
De acuerdo con lo expuesto por el directivo, entre otros de los “pecados” cometidos por los emprendedores que tienen compañías que operan por Internet, se encuentran la falta de utilización de tecnología de seguridad (uso de software dudosos o no oficiales); pensar que la seguridad es solo un problema tecnológico (se adquiere tecnología de punta pero no se instruye al factor humano a darle uso apropiado) y no actualizar el software. Además, resulta equivocado creer que la seguridad informática debe descansar sobre el personal tecnológico-informático (TI) de la misma, ya que pasa a ser juez y parte en lugar de tener la independencia necesaria para tomar las decisiones en materia de seguridad.
Tener la falsa creencia de que los proyectos de seguridad se concluyen es otra premise inexacta. Quiñones asegura que estos proyectos nunca se terminan, ya que siempre son insumos para fortalecer el siguiente nivel y adaptarse al mundo cambiante. “Hay que modificar paradigmas. Es necesario comprender que los planes de seguridad no se inician, se ejecutan y se terminan, sino que, por el contrario, nunca acaban. Se trata de una actividad cíclica que lleva análisis, formación, ejecución y monitoreo de los resultados, los cuales serán materia prima para iniciar otro ciclo, mejorando las fallas y robusteciendo la seguridad”, acotó.
Mejor prevenir que lamentar
Según expertos presentes en el Seminario realizado en Caracas, Venezuela -al igual que casi todos los países de Latinoamérica- es muy vulnerable a incidentes de seguridad en materia de información. Esto se debe, principalmente, a que la sociedad latinoamericana es muy reactiva y normalmente no se toman medidas preventivas porque muchas veces no se está consciente de los peligros que representa el uso de los recursos informáticos.
El gerente de ESET advierte que las empresas no invierten lo suficiente en prevenir incidentes de seguridad, pero es mucho más oneroso reaccionar. “Hay que estar preparado, ver el problema como algo integral y blindarse en las áreas de tecnología, gestión y comunicación: un engranaje en el que si uno de los elementos falla, la máquina de la seguridad no funcionará”, señaló.
Quiñones agregó que cada vez se hace más necesario aplicar soluciones tecnológicas antimalware (malicious software), de control de contenido y de encriptación, para luego alinearlas con una correcta aplicación. “Compañías como ESET están conscientes de esta necesidad por lo que no solo brindan el producto sino que entrenan al personal en cursos de gestión de incidentes, para que las empresas adquieran la tecnología y se asesoren en materia educativa de seguridad”, agregó.
Concluyó Quiñones con la premisa de que “el mejor incidente es el que no ocurre” y es por ello que, a nivel de seguridad, el principal foco de inversión de recursos debería estar en la prevención para lograr que la información sea segura, confidencial, integra y disponible.
Para más información, visite www.eset-la.com
