BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Lo básico Póngase al día con nuestro contenido introductorio.

Principales retos de seguridad para las PyMEs

Las mejores prácticas en seguridad de TI y cumplimiento para las pequeñas y medianas empresas (PyMEs) son fundamentales, pero subestimadas.

Las mejores prácticas en seguridad de la información y cumplimiento para las pequeñas y medianas empresas (PyMEs) son a menudo vistas como un dolor de cabeza y una "compra renuente", pero las PyMEs se enfrentan al mismo panorama de amenazas que las organizaciones más grandes, pero sin sus presupuestos.

Los líderes de TI de las PyMEs se reunieron en una mesa redonda de nuestra publicación hermana Computer Weekly, en asociación con Dell SecureWorks, para discutir los desafíos que enfrentan en torno a la protección de datos, el cumplimiento y la nube y cómo hacer seguras a sus organizaciones sin seguir los métodos caros y obsoletos.

El riesgo de seguridad de la nube para las PyMEs

La nube es una tecnología en la que muchas PyMEs están interesadas ​ debido a los beneficios de la flexibilidad, el pago por uso y la reducción de la inversión en hardware. Pero sigue habiendo dudas sobre su seguridad.

David Lacey, director de investigación de la Asociación de Seguridad de Sistemas de Información  (AISS - Reino Unido) dijo que la nube es una buena solución para las PyMEs si eligen proveedores de servicio profesionales y confiables.

A las grandes empresas no les gusta la nube, ya que no pueden obtener la garantía jurídica de los reguladores", dijo Lacey.

Sin embargo, Alan Coburn, director de consultoría de seguridad y riesgos en Dell SecureWorks, es más escéptico.

“¿Quién es responsable de la seguridad en la nube? Es una decisión personal, pero yo soy muy cuidadoso de poner información personal en la nube”, dijo Coburn.

Steve Nicholls, arquitecto técnico en Ingens, dijo que no ha habido ninguna gran brecha de seguridad en la nube, pero que solo puede ser una cuestión de tiempo ya que los ciberdelincuentes esperan el momento adecuado para atacar.

"No ha habido ningún susto de seguridad aún, ya que los hackers quieren que todos pongan todos sus datos en la nube y luego hacer una apropiación de tierras y salir, por lo que es tranquilo por ahora", dijo Nicholls.

Cumplimiento de regulación de seguridad para PyMEs

El cumplimiento es un proceso doloroso para muchas PyMEs. La Ley de Protección de Datos y los reglamentos de tarjetas de pago PCI-DSS fueron criticados como lentos y caros.

Sin embargo, no se puede evitar el cumplimiento, incluso si no se traduce necesariamente en una mayor seguridad.

"Antes no se esperaba el cumplimiento, pero ahora es un problema. El mundo del cumplimiento  no es la seguridad. Es un mundo loco”, dijo Lacey.

Peter Vangeen, propietario de Corporate Chauffeurs, está pasando por el cumplimiento de PCI-DSS porque su banco le pidió que lo hiciera.

"Es mucho más complicado de lo que pensaba. Tengo un documento de 48 páginas con la mejor parte de 400 preguntas. Empecé en la pregunta uno y me di por vencido en la pregunta siete. Todo el proceso para las PyMEs es muy difícil, es enorme y cuesta dinero, y me pregunto qué tan diferente será la seguridad será al final respecto a cómo es ahora", dijo Vangeen.

"El cumplimiento se trata de cubrirse a uno mismo, pasando [a otro] los problemas y marcando todas las casillas", dijo.

"Estoy manejando un negocio. Leer 400 preguntas que no tienen sentido para mí no es una forma de pasar mi tiempo. Quiero cuidar de los clientes, lo que he hecho durante 20 años sin un problema de seguridad. La cultura de marcar las casillas que las grandes empresas perpetúan y envuelven en jerga corporativa no tiene sentido para las PyMEs".

Pero Eamonn Sheridan, director de TI de Citybond Holdings, dijo: "Si usted avanza con dificultad a través de las directrices de seguridad, hay buenas prácticas".

Coburn de Dell dijo que puede ver por qué fue creado PCI-DSS –porque las organizaciones no están poniendo los controles necesarios en su lugar– pero dijo que las PyMEs deben trabajar con asesores de confianza en el cumplimiento.

"Una organización nos preguntó, ¿cuántos son demasiados datos de tarjetas de crédito? Pero la norma no establece cuánta cantidad es demasiado. Esa organización habría dado un consejo diferente que podría haberles costado miles de dólares”, dijo Coburn.

Las PyMEs deberían tratar de entender dónde están sus activos y centrar allí los controles de seguridad. "Es mejor que un enfoque disperso", dijo.

Andy Bover, director de las TIC en la empresa de finanzas 1st Credit, acordaron que era importante obtener el asesoramiento adecuado.

"Tenga cuidado de cualquier consultor que no le pregunte por qué necesita mantener los datos de tarjetas de crédito. Hay muy pocos casos de negocio para la retención de datos de los titulares de tarjetas", dijo Bover.

Sin embargo, el principal beneficio de cumplimiento es llamar la atención de la junta directiva, ya que el CEO debe firmar un documento de política de alto nivel para garantizar la confidencialidad y la integridad de cumplir con normas como la ISO 27000, dijo Bover.

"Está firmado por el director ejecutivo y si se encuentra una debilidad, el director ejecutivo está en la corte. Esto es positivo, ya que significa que mi director ejecutivo se comprometerá con los gastos de TI para ver que sucedan, y le dirá al CFO que necesita gastar dinero en eso ", dijo.

El cambiante panorama de amenazas para las PyMEs

Al igual que muchas empresas de seguridad de TI, Dell SecureWorks está constantemente inspeccionando el cambiante panorama de amenazas. Coburn dijo que las PyMEs están cada vez más en la mira, pero muchos creen que están bajo el radar y no en la mira de los ciberdelincuentes.

“El malware se está volviendo cada vez más sofisticado. Aurora y Stuxnet son muy sofisticados, todos dirigidos a desviar información financiera", dijo.

Dell SecureWorks rastrea la internet y monitorea los foros de hackers para determinar la próxima amenaza y proteger la seguridad de sus 3,500 clientes.

"Vemos en promedio alrededor de 50 eventos de seguridad por año por cliente, a quien tenemos que llamar por teléfono o alertar. Eso es un evento cada semana. Si usted no está recibiendo una llamada, ¿es usted diferente de esas organizaciones?”, preguntó Coburn.

Ian Crofts, director de TI de JBW Group, dijo que la piratería por venganza es también una preocupación.

"Es fácil molestar a alguien lo suficiente para hacer que quieran tenerlo como objetivo", dijo Croft.

Lacey dijo que el crimen organizado y los servicios de inteligencia se dirigen cada vez más a las empresas más pequeñas y buscan información útil acerca de los contratos: "Hay un gran número de objetivos y los criminales están abarcando cada más amplia y yendo más profundo”.

Bover, dijo la mayoría de los profesionales de TI de las PyMEs comprenden los riesgos, pero su lucha radica en convencer a los ejecutivos de alto nivel de la amenaza.

"Ellos le darían una respuesta diferente acerca de ser lo suficientemente pequeños como para estar por debajo del radar de las amenazas", dijo.

Educación en seguridad y capacitación para las PyMEs

Educación constante y capacitación en torno a la seguridad de TI son necesarios para ayudar a reducir los errores humanos.

Vangeen dijo que, incluso después de haber logrado el cumplimiento PCI-DSS, el acceso a los detalles de las tarjetas de crédito puede ocurrir si alguien los escribe en un pedazo de papel y los tira a la basura. El personal es de confianza, pero ninguna compañía es inviolable.

"No hay nada que la industria pueda hacer para resolver el problema. El error humano baja la seguridad", dijo. "El error humano significa que alguien siempre saldrá del edificio con una computadora portátil sin encriptar”.

Bover dijo que la única respuesta es eliminar la oportunidad de que las personas cometan errores: "No tenemos bolígrafos o papeles en el centro de llamadas. Todo está escrito en pizarras que se limpian”.

Josko Grljevic, director IS en Thetrainline.com, dijo: "Usted puede tener la mejor tecnología en el mundo, entonces alguien tiene una charla con la recepcionista y obtiene información de todos”.

Coburn dijo la concienciación y la educación son parte esencial de la seguridad.

“La mayoría de las organizaciones seguras gastan tiempo y dinero en el personal. Hasta que comience su capacitación en conciencia [de seguridad], usted no es una organización segura. El sentido común solo se convierte en sentido común cuando usted sabe lo que hay que hacer. Las organizaciones que lo hacen bien toman el enfoque pragmático y lo hacen a menudo sin que sea aburrido", dijo.

Lacey dijo que el entrenamiento es más importante que las calificaciones de seguridad, que son a menudo solo una licencia para operar.

"Creo en la formación y la educación, no en las calificaciones", dijo.

Coburn dijo que las mejoras de seguridad pueden pagar dividendos, pero no hay que exagerar.

"No trate e implemente controles de las organizaciones de gran ciudad", dijo.

"Comprenda su entorno. El reto es que si usted tiene un montón de infraestructura, es difícil  enfocarse, pero empiece poco a poco, donde usted está preocupado por la infraestructura, protegiendo los activos de infraestructura que podrían ser objetivo”.

El estándar de seguridad ISSA5173 se dirige a las necesidades de las PyMEs

David Lacey es un experto en seguridad de la información con más de 30 años de experiencia trabajando como jefe de seguridad de la información para organizaciones como Royal Mail, Shell y el Ministerio de Asuntos Exteriores y de la Commonwealth.

Para combatir algunos de los problemas que enfrentan las PyMEs, la Asociación de Sistemas de Información de Seguridad (AISS - Reino Unido), donde Lacey es el director de investigación, está  creando un nuevo estándar de seguridad para pequeñas empresas, llamado ISSA5173.

"Las PyMEs son diferentes de las grandes organizaciones, no en las amenazas de seguridad –que son las mismas– sino más en la forma en que operan. Las PyMEs no necesitan controles de papel y de mano de obra intensiva que le gustan a las grandes empresas. La nueva norma sugiere mirar las políticas, procedimientos y educación", dijo Lacey.

Lacey dijo que la presión sobre las PyMEs es hacer crecer su negocio y la seguridad es a menudo baja en la lista de tareas pendientes.

"Las pequeñas empresas carecen de conocimientos, motivación y dinero. La seguridad es una compra renuente y el problema de alguien más, pero la gran mayoría de los negocios del Reino Unido está formado por PyMEs. Ellos son la parte más vulnerable de los negocios", dijo.

Lacey dijo que las PyMEs tendrán que enfrentarse con la seguridad porque el cumplimiento y la protección de datos son una prioridad en la agenda del gobierno y las grandes empresas.

"Las grandes empresas están exigiendo cada vez más seguridad y las PyMEs deben obtener el cumplimiento de PCI-DSS, por ejemplo", dijo.

Mientras tanto, el panorama de la seguridad ha cambiado fuera de todo reconocimiento, con el impacto de internet y empleados cada vez más móviles, lo que ha transformado la forma de comunicarse.

El futuro de la seguridad es complejo. Estamos frente a un tsunami de datos con un crecimiento del 60% en datos móviles. Las amenazas son más sofisticadas, las brechas de datos más perjudiciales, los usuarios han dejado los edificios y las aplicaciones los han seguido", dijo Lacey.

Ha habido un aumento en la legislación de datos en todo el mundo, ya que es amigable al ciudadano y barata, pero la dependencia en las normas y una mentalidad de rebajo hacia la seguridad está dando lugar a un mundo de cumplimiento y políticas, lo cual no necesariamente mejora la seguridad, dijo Lacey.

"Los auditores juzgan contra los estándares de seguridad que son obsoletos, y la seguridad se juzga sobre la calidad de los papeleos y procedimientos", dijo.

Las PyMEs deben evitar seguir el ejemplo de las grandes corporaciones.

“El pensamiento de las grandes empresas se trata de maximizar el presupuesto de seguridad, mientras que las PyMEs son frugales, y deben pensar en el cliente", dijo Lacey.

"Las PyMEs requieren medidas de control rápidas y rentables, y soluciones que son fáciles de manejar”.

Él sugirió que las PyMEs utilicen gestión de riesgos para soportar las decisiones, no para darles forma: "Céntrense en la protección de datos y la estandarización, y usen de asesores independientes para gestionar sus intereses.”

Próximos pasos

Puede interesarle revisar otros artículos sobre tecnología y estrategias para las pequeñas y medianas empresas:

Seguridad en PyMEs: Menos cultura y más riesgos para sus datos

Cuatro características que las PyMEs de AL buscan en las soluciones de comunicaciones unificadas

PyMEs deben invertir en ERP para asegurar su futuro

Claves para el almacenamiento definido por software en las PyMEs

Este artículo se actualizó por última vez en junio 2015

Únase a la conversación

1 comentario

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

No creo que una empresa de 10 ordenadores tenga que ser tratada como una de 5000 ordenadores.
Los objetivos son muy diferentes, los perjuicios también, y en cierto caso las directivas de seguridad individuales van sobre 10 ordenadores y en otro caso sobre 5000
Cancelar

- ANUNCIOS POR GOOGLE

Close