Todos deseamos que la infraestructura esté más segura. Tal vez algunos de nosotros tengamos propósitos personales y otros más (o los menos) tendrán propósitos para incrementar la seguridad informática de las TI a su cargo. Esta vez me enfocaré en los obstáculos no técnicos que pueden impedir o alentar una mayor seguridad. No son ni los más importantes ni los únicos, pero sí pueden ponerse en medio de su camino.
Error 1: Tratar de cambiar todo de inmediato
¿Han visto el estándar ISO 27001? ¿O los 20 controles de seguridad propuestos por el SANS? De un solo vistazo se antoja una tarea herculiana. Abrumados por la cantidad enorme que hay que hacer por delante, nos perdemos en un mar de controles y documentación. «Luego lo hago», nos decimos. «No encuentro el tiempo», nos quejamos agriamente ya en verano, porque sabemos que no hemos hecho gran cosa, o nada. Tratamos de cambiar una infraestructura insegura en una segura en 12 meses, porque si no es ahora, ¿cuándo? Mi sugerencia es tomar los tres controles que más impacto positivo tendrían en la seguridad de nuestras TI (el 80-20 de Pareto). Es mejor empezar por algo en este año e ir incrementando la seguridad en años posteriores. No tratemos de cargar con el peso de todo un camión: desarmémoslo y carguemos solo lo principal. ¿Por dónde empezar? Dependerá de cada organización y su nivel de riesgo, aunque vale la pena tomar en cuenta estos tres controles:
Mantener actualizada toda la infraestructura (sistemas operativos y aplicaciones).
Aplicar un endurecimiento (hardening) a los sistemas operativos y dispositivos de red.
Agregar la protección de listas blancas al antivirus que ya tenemos.
Error 2: Tener un propósito abrumador
¿Han escuchado del kaizaen? Es algo así como la mejora continua de los controles que ya tenemos en operación. Significa que pequeñas mejoras significan un gran avance en un plazo corto a mediano. Supongamos que tenemos el propósito de actualizar el software de las 3,500 aplicaciones que tenemos instaladas en los 10,000 equipos de los usuarios. Suena abrumador si consideramos que primero hay que hacer pruebas para ver que las actualizaciones no dañen la operación de las aplicaciones, y luego ir aplicando dichas actualizaciones poco a poco.
Tal como dijimos anteriormente, es mejor hacer algo que no hacer nada. De las 3,500 aplicaciones que tenemos para actualizar, seleccionemos solamente las más riesgosas y empecemos actualizándolas. Podemos saber cuáles son las más riesgosas con base en cuántas debilidades salen por año, cuántas de ellas permiten el acceso remoto al equipos, el tiempo de repuesta del fabricante para parcharlas y/o la base instalada de esa aplicación. Ya después nos iremos preocupando por el resto.
Error 3: Buscar un resultado y no una gestión
Es tentador buscar un resultado, por ejemplo «instalar el antivirus en todos los equipos». De hecho, muchos hallazgos de auditorías giran en este sentido. Lo malo es que eso es un beneficio a corto plazo. Si logramos, efectivamente, el objetivo, tendremos todos los equipos instalados con antivirus. ¿Y luego qué? En un par de meses nuevamente habrá equipos sin este control.
¿No sería mejor buscar una gestión? ¿Un proceso? «Poner en marcha un proceso permanente de instalación y actualización de antivirus en todos los equipos». Es un cambio sutil, tal vez obvio, pero hace la diferencia. Muchos pueden concentrarse en «cumplir», atender el hallazgo de auditoría o del pentest y listo, «ya cumplí». No busquemos resultados, sino procesos, y el resultado vendrá como consecuencia.
Error 4: Hablar de más seguridad, pero no hacer los cambios necesarios
Como digo siempre, hablar de tener más seguridad no cambia nada. La documentación que habla sobre seguridad tampoco modifica el estado de las cosas. Las acciones lo hacen. Es como los que tienen el popular propósito de bajar de peso y nunca empiezan. Y todo el año mantienen su peso o lo aumentan, sin hacer nada de dieta ni ejercicio. Así es que hay que hablar menos y tener más planes de trabajo, con su debido seguimiento.
En conclusión, mantener e incrementar el nivel de seguridad en una organización es una tarea que se deja de lado en algunas ocasiones. Si así sucede, es importante identificar la razón y darle solución lo antes posible.
Fuente: searchdatacenter.techtarget.com
