lunes, 11 de abril de 2016

La toma de conciencia, el paso previo a la racionalización de la ciberseguridad

Termina el primer trimestre de 2016 y observo con gran interés cómo prácticamente cada semana alguien realiza un evento de Ciberseguridad o de Seguridad IT. Me anima, pero a la vez me incomoda saber que mientras una gran mayoría de las compañías de nuestro país, sobre todo las llamadas pymes, van a rastras intentando ponerse al día en seguridad perimetral y servicios más o menos activos sobre control de vulnerabilidades (en el mejor de los casos), la industria parece que ya esté a años luz de distancia.
Y es que ya se han quemado suficientes etapas como para hablar de las preocupaciones sobre la “difuminación del perímetro” y sus peligros. El mensaje ahora es “la movilidad y el Cloud hacen necesaria una nueva estrategia de seguridad IT”. Y yo me pregunto si con esta afirmación estamos dando por sentado que las compañías ya han pasado con éxito por la estrategia y las estructuras de seguridad principales. Pues bien, creo que muchas compañías lo que comienzan es a tener la percepción de que existen peligros en los negocios que ahora no se ven y que esa sensación incomoda. Este es un buen inicio, ya que lo primero y más importante al tratar temas de ciberseguridad es que toda empresa debe ser consciente de que los riesgos existen, y por otro lado, que las compañías especializadas en ciberseguridad pongamos encima de la mesa soluciones tangibles y servicios realizables.
Hay que explicar bien a qué aplican los nuevos servicios de seguridad IT en cada compañía (como CASB, Servicios de control de reputación, SandBoxing, WAFaaS, etc...). Y hay que hacer hincapié en identificar los riesgos propios de cada compañía, controlarlos, implantar las medidas y contramedidas necesarias y lo más importante, dar un servicio de ciclo activo. Es necesario concienciar y explicar que la ciberseguridad no se trata de la ejecución de un proyecto, sino de la inclusión de un proceso activo con un ciclo de vida continuo.
Cualquier organización debe preservar su infraestructura crítica, compuesta por los sistemas y activos en general de la compañía (físicos o virtuales) que sean vitales para el negocio, de manera que la destrucción parcial o total de los mismos pueda tener consecuencias negativas en el funcionamiento de la actividad.
foto
En nuestro caso, desde OneseQ creemos que es necesario además construir una estrategia basada en los cinco pilares imprescindibles para cualquier compañía: capacidad de identificar, de proteger, de detectar, de responder y de recuperar.
Una vez estudiados los riesgos donde se muestren los vectores reales de ataque así como los objetivos de los mismos, y estudiada la maduración de los servicios que se tengan implementados, estaremos en condiciones de ser realistas con nosotros mismos y pasar a definir y acometer la estrategia de seguridad IT que el negocio de la compañía requiere para continuar.
Con todo esto claro, no seré yo quien diga que es malo que el mercado vaya mucho más rápido que la propia adopción de la tecnología en las compañías. Lo que sí creo es que hay que ponerle cabeza y argumentos a las mismas para que se apliquen a lo que realmente es importante para cualquier empresa, su negocio, y en este caso a “la seguridad y a la continuidad de su negocio”.
Como compañía de servicios, desde OneseQ (Área de Ciberseguridad de Alhambra-Eidos) estamos encantados de que haya nuevos retos y nuevos objetivos que cubrir, pero la concienciación creemos que debe de ser lo primero, la racionalización lo segundo y ponerse manos a la obra lo tercero, y no por ser lo último lo debemos de postergar, lo que tenemos que hacer es impulsarlo para tenerlo alineado con el negocio de cada compañía y sus riesgos.
Encantado de poder poner un granito de arena en la ‘racionalización de la ciberseguridad’.