7 factores que reducen la efectividad de la gestión de seguridad

Cada día se conocen nuevos incidentes dentro de las organizaciones. De acuerdo con el ESET Security Report 2016, durante el año pasado el 78% de los encuestados afirmó que la empresa donde colabora padeció algún evento inesperado e indeseado que comprometió su seguridad.

Por ello, aplicar medidas de protección para los activos se vuelve una tarea prácticamente obligatoria si el propósito es evitar amenazas, siendo la gestión de seguridad de la información relevante sin importar el tamaño o el rubro de la empresa. Pero ¿qué pasa cuando hay obstáculos para ponerla en práctica? ¿Cómo superarlos?

Breve repaso sobre gestión de seguridad de la información en las empresas

El papel de la seguridad dentro de las organizaciones se centra en la gestión de riesgos asociados a la información. De manera general, el punto de partida es la identificación de los activos más importantes (incluida la información que forma parte de los activos primarios), mismos que resultan indispensables para el logro de objetivos y misión del negocio.

Debido a que la información suele ser considerada como un activo crítico, se busca preservar su confidencialidad, integridad y disponibilidad, para evitar riesgos dinámicos que derivan de vulnerabilidades y amenazas. En este sentido, se busca atender principalmente los riesgos críticos, es decir, aquellos que poseen una probabilidad alta de ocurrencia o que representan un impacto mayor en caso de materializarse, para reducirlos hasta un nivel aceptable.

Estos son los ejes y elementos principales de la gestión:

gestion-wls

Para reducir los riesgos, es necesario aplicar controles de seguridad de distintos tipos, como los administrativos que van dirigidos a las personas, los técnicos que generalmente incluyen soluciones tecnológicas, los físicos que están asociados a la seguridad física, e incluso los legales, todos ellos considerados en las mejores prácticas o estándares. Una vez implementados, se convierten en normas que se deben cumplir dentro de las empresas.

¿Qué pone en peligro su ejecución?

7 obstáculos para la efectiva gestión de seguridad de la información

#1 Contraposición con los objetivos de negocio

Se debe revisar que todas las iniciativas de seguridad se encuentren orientadas a salvaguardar los elementos más importantes de una organización, al tiempo que se mantiene la operación con los niveles de protección definidos.

Cuando no se protegen los activos críticos o los procesos se ven afectados por restricciones inadecuadas, la seguridad se puede convertir en un obstáculo para el negocio.

#2 Selección errónea de activos de información

En sintonía con el punto anterior, la inadecuada selección de los elementos a proteger puede derivar en esfuerzos mal encaminados. Por ello, resulta necesaria la aplicación de prácticas como la clasificación de información, asignación de responsabilidades o selección de procesos críticos. De esta manera, es posible identificar los elementos más relevantes a preservar de manera segura.

#3 Definición de un alcance de protección que sobrepasa los recursos

En condiciones ideales se buscaría la protección de todos los activos de información de una organización, sin embargo esto no siempre es posible puesto que los recursos son finitos. Por ello un mal dimensionamiento de lo que se desea asegurar puede derivar en el fracaso de las iniciativas de seguridad. Enfocarse en lo más importante es el punto de partida, posteriormente el alcance puede crecer de manera paulatina.

#4 Subjetividad en la evaluación de riesgos de seguridad

La evaluación de riesgos juega un papel importante, ya que a partir de sus resultados se podrán implementar los controles de seguridad que buscan mitigar los riesgos. Los consensos entre los tomadores de decisiones son básicos para la definición y aplicación de criterios propios para cada organización, lo que define su aversión o propensión al riesgo y una correcta valoración (cualitativa o cuantitativa) asignada a cada riesgo. De esta forma se busca tener objetividad.

#5 Controles de seguridad equivocados, innecesarios o mal implementados

Para mitigar cada riesgo de seguridad es necesario seleccionar e implementar los controles adecuados, resultado de la valoración del punto anterior. Un control que no reduce la probabilidad o el impacto de un riesgo crítico/alto deberá ser modificado, actualizado o complementado con medidas de protección adicionales, hasta alcanzar un nivel aceptable de riesgo. En el proceso de mejora se puede identificar si un control resulta efectivo o no.

#6 Adopción de mejores prácticas sin adaptación

Los controles de seguridad del punto anterior generalmente se encuentran documentados en estándares o marcos de mejores prácticas, por lo que se convierten en una referencia de gran utilidad. Pero deben ser adaptados por las organizaciones, de acuerdo con los recursos, características y necesidades propias. Las mejores prácticas se deben ajustar a la empresa y no al revés.

#7 Considerar la seguridad como un proyecto y no como un proceso

El dinamismo de los riesgos de seguridad, como consecuencia del desarrollo de nuevas amenazas y el descubrimiento de nuevas vulnerabilidades, determina que la seguridad no debe ser vista como un estado finito. Por el contrario, debe ser percibida como un proceso de mejora permanente, que permita mitigar los riesgos cambiantes.

En concordancia con los puntos anteriores, es necesario adoptar y adaptar medidas de seguridad en función de los riesgos y de la efectividad de los controles ya implementados.

Crecimiento de las prácticas de gestión en las empresas latinoamericanas

De acuerdo nuevamente con los resultados del ESET Security Report 2016, de un año a otro las prácticas de gestión de seguridad aplicadas en las empresas de Latinoamérica muestran un ligero incremento. Por lo mismo, el porcentaje de organizaciones que no aplican medidas relacionadas con la gestión ha descendido ligeramente, tal como se muestra en el siguiente gráfico:

Por ejemplo, la aplicación de políticas, la realización de auditorías, planes de continuidad de negocio o respuesta a incidentes, son algunas de las prácticas específicas que han aumentado en los últimos dos años.

A lo largo de los años, se ha observado un aumento constante en el nivel de madurez de la Seguridad de la Información corporativa en la región, lo que muestra que los esfuerzos para promoverla resultan positivos. Sin embargo, todavía existe un importante y permanente trayecto por avanzar, en busca de gestionar la seguridad en las organizaciones.

Autor , ESET

Síguenos