Pecados capitales de la seguridad para PyMEs (parte I)

Los responsables de tecnología en las PyMEs frecuentemente se encuentran con dificultades para implementar medidas de seguridad de la información, y se observa que están muy distantes de las normas internacionales y mejores prácticas en la materia. En este sentido, en el ámbito de este tipo de empresas suelen producirse errores frecuentes a la hora de comprender la seguridad de la información. ¿Cuáles son los principales pecados que cometen las PyMEs en la materia?

PyME es el acrónimo de “Pequeña y mediana empresa”, y  de acuerdo con la legislación de cada país difieren las posibilidades de una empresa para inscribirse en dicha categoría. Para su categorización, en algunos casos se consideran los niveles de facturación, mientras que en otros se tiene en cuenta el número de empleados con los que cuentan.

La fuerza productiva de las PyMEs en Latinoamérica supera el 50% del conjunto de la mano de obra ocupada, siendo en algunos países incluso el 90% de la fuerza laboral local. Independientemente de la definición, las pequeñas y medianas empresas poseen algunos factores comunes que atraviesan las fronteras y la legislación, especialmente con respecto al uso y disposición de tecnologías, aspecto que las diferencian claramente de las grandes empresas. Limitación en los recursos financieros asignados a la tecnología, y por ende, restricción de recursos tecnológicos; escasez de recursos humanos y de gestión en el área tecnológica, más específicamente en la inversión en el área de seguridad de la información; son algunas de estas características comunes que se pueden enumerar.

Los responsables de tecnología en las PyMEs frecuentemente se encuentran con dificultades para implementar medidas de seguridad de la información, y se observa que están muy distantes de las normas internacionales y mejores prácticas en la materia.

Directores, gerentes, ejecutivos de sistemas, administradores de red, soporte técnico, responsables de Recursos Humanos y otros integrantes de las organizaciones relacionados con la seguridad de la información en la empresa; suelen fallar a la hora de implementar planes a largo plazo en pos de mejorar la seguridad de la información de la organización.

En este sentido, suelen producirse errores frecuentes a la hora de comprender la seguridad de la información. ¿Cuáles son los principales pecados que cometen las PyMEs en la materia?

Pecado número 1: La seguridad es un problema tecnológico

La implementación de tecnologías de seguridad tales como firewall, antivirus, detectores de intrusos, controles de acceso, u otros, es una parte necesaria pero no suficiente para la seguridad de la información en una organización. Comúnmente, por motivos de limitaciones de conocimientos, presupuestos o recursos, suele restringirse la seguridad de la información a la implementación aislada de tecnologías de seguridad. Sin embargo, este acercamiento no resulta ser completo, dado que se omiten aspectos humanos y de gestión que resultan ser indispensables para el proceso de seguridad.

La gestión de la seguridad es el componente clave y primario para un plan exitoso de protección de la información en una PyME. Sin gestión no hay controles o medidas que provoquen un aseguramiento eficiente de los datos de la organización, o que se evalúen los riesgos a los cuales se está expuesto.

Para que esta gestión sea realizada de forma exitosa, debe comprenderse a la seguridad como un proceso dinámico, y  además se tiene que trabajar en las siguientes etapas: relevar (análisis de la situación), planear (definición de un plan de controles de seguridad), ejecutar (implementación de las medidas) y monitorear (evaluar los resultados y sus posible mejoras). Finalmente, comenzar el ciclo nuevamente con el relevamiento.

Entre las principales medidas a considerar se encuentra la implementación de políticas de seguridad como componente principal del proceso de seguridad. Se define una política de seguridad como “una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán“.

Posteriormente, el proceso de gestión incluye el sub-proceso de clasificación de la información, mediante la cual se identifica la criticidad de toda la información de la organización; la definición de acuerdos y contratos, destinado a reglamentar y definir condiciones relacionadas a la seguridad; y la implementación de un plan de educación y concientización de los usuarios, destinado a acrecentar los conocimientos de los integrantes de la empresa en la materia para, de esta manera, disminuir los riesgos de exposición a diversas amenazas.

Todos estos elementos serán utilizados eficientemente si la organización y sus integrantes comprenden a la seguridad como un ciclo. Para tal fin, es indispensable la colaboración de múltiples áreas,  principalmente de la alta gerencia, como responsable final del plan de seguridad.

Continuará…

Sebastián Bortnik
Analista de Seguridad

Autor , ESET

Síguenos