¿Por qué conocer las debilidades de la empresa promueve la seguridad?

Para las organizaciones es fundamental conocer en cada uno de los procesos que tienen cuales son las debilidades para así aplicar las oportunidades de mejora sobre cada uno de estos procesos; la seguridad de la información como en ocasiones anteriores hemos indicados, debe ser tratada como un proceso organizacional que debe ser gestionado, medido y mejorado de forma permanente.

La seguridad en cualquiera de sus modalidades requiere de un conocimiento del entorno y de una constante mejora de los mecanismos de control, para asegurar la información este procedimiento es el mismo, teniendo en cuenta que el entorno es no solo las redes de datos sino cualquier dispositivo que maneje información de la empresa, y teniendo en cuenta que los mecanismos deben mantenerse actualizados, no solo los técnicos sino al personal.

En vista de la evolución tecnológica y el creciente número de ataques a la información a cualquier sistema que contenga información, es necesario para las empresas tener mecanismos que les permitan conocer sus debilidades antes de que estas causen un impacto en la seguridad de la información.

Como punto de partida, las organizaciones deben aplicar mecanismos reconocidos para “asegurar” y definir el estado de sus mecanismos de control, que permitan tener una medida de su nivel de riesgo, a continuación explicaremos algunos de los más comúnmente implementados.

Seguridad ofensiva o Pruebas de penetración

Existen muchas formas de llamar este mecanismo de medición, como prueba de vulnerabilidad, pentesting, ethical hacking, entre otros. Pero todos tienen como objetivo realizar una simulación controlada de un ataque cibernético a la infraestructura tecnológica de las empresas, en busca de brechas de seguridad.

Este mecanismo de medición es muy común en cualquier tipo de organización, pues dependiendo de la profundidad del análisis se pueden determinar los riesgos a los que están expuestos y determinar el impacto que generan en caso de una ocurrencia.

Sin embargo, si este proceso no se hace de forma permanente y por un equipo de personas expertas con la infraestructura técnica correcta, simplemente nos toma una foto de los riesgos en un momento de tiempo específico, pero no nos garantiza anticiparnos o conocer rápidamente un nuevo riesgo.

Conocer el perímetro

Hace unos años las empresas podían determinar fácilmente donde estaba la información que se requería en sus procesos y a través de controles implementados usualmente en sus redes para mitigar los riesgos, pero en la actualidad el perímetro ya no es nada simple de determinar.

El aumento de los dispositivos móviles inteligentes y la necesidad de acceder a la información desde cualquier ubicación y en cualquier momento, ha generado que la información esté dispersa en redes y dispositivos donde los controles tradicionales no están implementados.

Esto ha generado la necesidad de evolucionar los mecanismos de seguridad, llevándolos a los dispositivos, donde a través de agentes o aplicaciones se puedan extender los controles tradicionales, gestionando a que pueden acceder los usuarios, a través de que redes y sobretodo dando mecanismos de eliminación remota que mitigue la posibilidad de una fuga de información.

Conocer que dicen

La reputación es para las organizaciones en la actualidad su carta de presentación en el mundo y suelen ser más graves las consecuencias generadas por la divulgación de información que afecte la reputación de la empresa, que un robo financiero a la misma.

Es fundamental que las organizaciones hoy en día usen las redes sociales y los medios digitales para darse a conocer y también para saber que dice el medio sobre ellos, por esto la industria de la seguridad de la información ha generado mecanismos que permiten determinar de forma anticipada cuando una empresa va a ser atacada socialmente, conocer esto de forma anticipada puede ser la diferencia para una empresa entre la pérdida total de su reputación o un manejo correcto a una situación crítica.

Generar conciencia

Aunque muchas de las medidas de control siempre generan restricciones es fundamental que estas políticas sean divulgadas de forma correcta a los empleados y usuarios, mostrando que estos mecanismos tienen como propósito garantizar la estabilidad de la organización y mejorar las condiciones de manejo de la información.

Esto nos permite generar una inclusión social de las medidas, evitando que un empleado quiera saltarse alguno de los controles y colocando en riesgo a toda la organización, y que por el contrario se vea como un propósito conjunto en que las condiciones de trabajo son seguras en todos los ámbitos.

Imagen @fancycrave1, distribuida con licencia Creative Commons BY-SA 2.0

No hay comentarios a esta entrada.

Déjanos un comentario

SUSCRÍBASE A NUESTRO NEWSLETTER