Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

No más seguridad, sino mejor seguridad

En seguridad informática, es más recomendable aprovechar las herramientas que se tienen al máximo, en lugar de seguir comprando productos sin sentido.

Tal vez hayan ido a congresos o conferencias de seguridad informática. En muchos de ellos, no faltan los patrocinadores que, ubicados estratégicamente, prácticamente obligan a los asistentes a pasar por sus puestos para que vean sus nuevos productos de todo tipo. "Protéjase contra las amenazas de hoy día", dicen. "¿Está su empresa preparada para los ciberdelitos?", preguntan. "El nuevo SecWeb X: Si no lo tiene, está indefenso", afirman. "Soluciones empresariales para asegurar lo que más importa: su negocio", pregonan.

Yo paso con cada uno de ellos para recibir folletería y una alta dosis de miedo de no tener el "último grito" en seguridad informática, o me alejo para evitar contestar todas las preguntas que hacen. A veces juego con ellos y les digo que “mi” corporativo es de 10 personas, que yo soy el administrador de sistemas y que dispongo de un presupuesto anual de 15 mil pesos para seguridad informática. ¡Caray, cómo los desanima eso! Dibujan una leve sonrisa y contestan que tienen soluciones para todos los bolsillos, pero empiezan a entrevistar al siguiente cliente potencial y pierden interés en mí. No falla.

Pero no sé si yo mágicamente tuviera dinero ilimitado, lo gastaría en nuevos productos de seguridad con nombres rimbombantes, porque hay dos maneras de mejorar la seguridad: añadir o sustraer.

Añadir es hacer y tener más: comprar un nuevo antivirus con nuevas características, un moderno analizador de vulnerabilidades más rápido o tener una nueva herramienta recién salida al mercado que nos salvará de las amenazas en línea. Por otro lado, sustraer es eliminar lo que no nos sirve, a la vez que mejoramos lo que ya tenemos y hacemos. Hacer más eficiente un procedimiento, re-configurar un antivirus, parchar todos los sistemas y sus aplicaciones; es decir, consolidar lo que actualmente se tiene.

Creo que muchas veces lo que hacemos en seguridad informática es tratar de mejorar por adición: más productos para incrementar el arsenal contra las amenazas. Pero es curioso que, cuando le preguntamos al feliz comprador de ese nuevo producto que "escanea más sistemas por minuto" lo que hace con los resultados de esos escaneos, nos dice que le envía el reporte a los administradores, y eso es todo. Quién sabe qué y cuándo se atendieron esos reportes, si es que se atendieron.

Mejorar lo que actualmente hace le traerá más beneficios que hacer más de manera mediocre.

Fausto Cepeda

O si acaban de comprar la nueva maravilla en ciberprotección para ver amenazas en tiempo real, y les preguntas si sus sistemas operativos y sus aplicaciones están parchadas al 100%. La respuesta suele ser, "no, ya sabes, hoy en día quién puede tener toda la infraestructura parchada al 100%, es imposible". Cientos de debilidades conocidas rondan por los oscuros rincones de las TI, pero eso sí, nuestro servidor web tiene un nuevo producto contra las APT.

¡Haga primero lo básico! Deje de andar comprando nuevos productos costosos y póngase a hacer las 10 cosas que realmente reducirán el riesgo. Consolide lo que tiene. No vuelva a comprar nada hasta que pueda decir que su infraestructura cuenta con los últimos parches de seguridad, que tiene actualizados todos sus sistemas operativos, todas sus aplicaciones,  switches, bases de datos y demás. Explote mejor las herramientas que actualmente tiene. Revise cada línea de configuración a ver si es la que más protege y la más adecuada. ¿Ya lo hizo, o tiene una configuración de hace años porque "así estaba cuando llegué"?

Aplique endurecimientos a sus sistemas, el famoso hardening. ¿No lo ha hecho, pero muere por tener ese aparato de seguridad que le mostró la guapa edecán en aquel evento?

Eso de "back to basics" es lo que aplica aquí. Mejore al sustraer, no al añadir:

Incidentes de seguridad

Ataques informáticos

  • Adición: el nuevo y poderoso WebProtect3000 que puede instalar para olvidarse de las amenazas.
  • Sustracción: Parche toda (¡toda!) su infraestructura de TI y manténgala así.

Métricas

  • Adición: añada más indicadores de seguridad informática.
  • Sustracción: revise las métricas que tiene y vea si son relevantes para tomar decisiones.

Protección

Pentest

  • Adición: contrate un pentest.
  • Sustracción: primero resuelva todos los hallazgos del pentest pasado y revise que las soluciones fueron efectivas y se mantienen.

Análisis de riesgos

  • Adición: proteja todo por igual (seguramente lo logrará).
  • Sustracción: básese en un análisis de riesgos para proteger más lo que es realmente  crítico, y proteja satisfactoriamente el resto.

Procedimientos

  • Adición: tenga más procedimientos, y cuando crea que es suficiente, haga más.
  • Sustracción: revise que sus procedimientos actuales sirvan para su propósito, que sean efectivos y que se prueben. Y que se sigan realmente en la vida real.

Evaluación

Así es que ya sabe. Cuando le muestren el próximo producto de seguridad a meses sin intereses, recién salido al mercado, y que realmente debe adquirir, recuerde mis palabras: mejor preocúpese de mejorar lo que tiene.

Este artículo se actualizó por última vez en noviembre 2014

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: Evolución de la seguridad de la información

Únase a la conversación

1 comentario

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

Mejor ejemplo y explicación, imposible.
Cancelar

- ANUNCIOS POR GOOGLE

Close