Sergey Nivens - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

La seguridad empresarial de TI va de la mano con la seguridad de TI del país

La conciencia de seguridad de TI aumentó en las empresas de AL, pero hay muchos retos por infraestructura obsoleta, presupuestos bajos y tendencias como la nube y la IoT.

Aunque en América Latina se puede encontrar todo tipo de madurez en los programas de seguridad empresariales, dependiendo del tamaño y el tipo de negocio, lo cierto es que ya se está tomando más concientización de los riegos de seguridad, en general. Así lo comentó Sebastián Brenner, estratega de seguridad para Latinoamérica y el Caribe de Symantec, quien destacó el cambio de mentalidad que está ocurriendo en muchas organizaciones, que ya están armando su propio equipo de seguridad o cuyos directores de seguridad están basando sus programas en bajar el riesgo y habilitar el negocio.

Brenner señaló que, en muchos casos, hay una relación estrecha entre la madurez que alcanzan los programas de seguridad en las empresas (con las organizaciones financieras liderando este campo), y el desarrollo de los programas de seguridad de los gobiernos, a nivel nacional. En la región, Colombia es el país que va a la vanguardia en cuanto a programas nacionales de seguridad de la información.

Sebastián Brenner

“Los puntos en común que son exitosos en los programas de gobierno para proteger la infraestructura crítica y la información son: Comenzar a implementar una base legal sólida en temas de ciberseguridad y ciberdefensa, generando leyes alrededor del cibercrimen para saber cómo reaccionar; determinar cuál es la infraestructura crítica e información que se tiene que proteger; crear y equipar recursos y modelos de trabajo con los que se van a trabajar alrededor de la ciberseguridad y ciberdefensa, como tener un CERT para manejar la información y distribuirla en las oficinas y tener una agencia de inteligencia que sepa cómo reaccionar ante una brecha para ayudar a las agencias; y definir claramente los roles y responsabilidades de cada participante en este programa de ciberdefensas, incluyendo cuál es el rol de las agencias y del sector privado”, dijo el experto.

Las empresas mejoran sus programas de seguridad

Además de ayudarle a las empresas a determinar la infraestructura y datos críticos que deben priorizar en sus programas de seguridad –teniendo en cuenta el panorama de amenazas– el estratega señaló que hay tres requerimientos básicos que las compañías les piden para mejorar su nivel de madurez en seguridad:

  1. Detectar, bloquear y responder ante amenazas tradicionales de seguridad, y ante ataques avanzados, manteniendo la tecnología y los procesos que ya tienen actualmente instalados.
  2. Proteger la información en entornos de nube, tanto cuando está dentro de sus instalaciones, como cuando sale del perímetro de la empresa.
  3. Ayudarles a superar la falta de recursos y profesionales, aumentar su preparación en ese campo, y mejorar el monitoreo de los sistemas, todo el tiempo.

En relación a la nube, Brenner dijo hay que considerar la seguridad tanto en el uso de la nube pública, como al armar un entorno privado de nube. Al usar la nube, hay que proteger la información cuando sale del perímetro, controlando que los datos salgan de manera segura y cifrada o bloqueando su salida, al igual que controlar qué hacen los usuarios al consumir servicios en la nube con un control de identidad y monitoreo de qué se sube a la nube. “Si el cliente arma su infraestructura de nube, lo principal es asegurar la infraestructura de manera ágil para protegerse de ataques avanzados y mostrar cumplimiento, en caso de que clientes lo pidan o tenga auditoría”, dijo Brenner.

Respecto a la falta de profesionales de seguridad, el experto dijo que la automatización y la inteligencia de las soluciones de seguridad pueden ayudar en este aspecto.

“Teniendo en cuenta la falta de recursos y de profesionales, y la gran competencia por ellos en mercado, así como los presupuestos que se van acortando, los clientes están buscando automatizar procesos e identificación de amenazas avanzadas para investigar, tener mejor visibilidad e información de inteligencia de lo que pasa dentro de su entorno, y tomar una acción para responder de manera mas rápida desde una consola centralizada”, manifestó.

La internet de las cosas debe asegurarse

Considerando que en 2020 habrá casi 30 millones de dispositivos conectados a internet, Brenner dijo que hay cuatro pilares que las empresas deben tener en cuenta al integrar los dispositivos de la internet de las cosas (IoT) en su infraestructura:

  • Desarrollar políticas de seguridad que contemplen el manejo de estos dispositivo y su buen uso.
  • Proteger la comunicación de estos dispositivos –usando cifrado y autenticación– que muchas veces cuentan con recursos limitados, por lo que no se pueden asegurar de la mejor manera.
  • Proteger los dispositivos con tecnologías como la “firma de código”, para que solo puedan correr en ese dispositivo los archivos o procesos que se han firmado digitalmente (code sign). En dispositivos donde se pueden poner medidas de seguridad más avanzadas, se debe controlar los procesos que hacen, agregar firewalls y contenedores para entender el comportamiento de los procesos en las cosas y así tener mayor control.
  • Exigir a los proveedores que tengan una mejor administración de estos dispositivos, y que puedan agregar tecnología que, a través del aire (over the air), permita tener más información de estos dispositivos para mejorar el negocio.

Las PyMEs necesitan una buena base de seguridad

Finalmente, Brenner dijo que, en el panorama actual de negocios, resulta fundamental que las PyMEs estén aseguradas, ya que pueden convertirse en el principal punto de entrada de los ataques avanzados. De hecho, más de la mitad (59%) de las compañías pequeñas y medianas sufrieron este tipo de ataques, como punto medio para atacar a grandes organizaciones.

Las compañías pequeñas deberían enfocarse en tener una buena base de seguridad alrededor del punto final, con múltiples capas de seguridad que sean fáciles de administrar. Tener seguridad en el correo electrónico también, un buen inventario y la actualización de parches, de sistemas operativos y aplicaciones”, aconsejó el experto, quien indicó que el uso de servicios de seguridad de terceros o de ofertas en la nube son buenas opciones para estas empresas.

Próximos pasos

Más sobre seguridad de TI:

El cómputo de nube crece, las soluciones de seguridad también

Transmitiendo la urgencia de seguridad

Seguridad informática en la era del cómputo de nube

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close