El año se acerca a su fin, las ventas del Black Friday han ido y venido y alrededor del 50% de esas ventas se realizaron en línea, en parte debido a la tendencia actual de las ventas en línea y en parte debido a la pandemia de Covid-19 que acelera esa tendencia.
Pero, ya sean grandes minoristas o pymes que se trasladen al espacio minorista en línea, ¿qué tan seguro están esos sitios web? ¿Y qué nivel de conocimientos en seguridad de información tienen las empresas de TI que brindan estos servicios de infraestructura en línea?
Los incidentes de seguridad han continuado a buen ritmo durante 2021, destacando las deficiencias de las defensas de muchas organizaciones. ¡Y qué puntos débiles han mostrado estas brechas de seguridad! Entonces, ¿qué lecciones hemos aprendido o deberíamos haber aprendido?
Para mí destacan dos cuestiones. Una es que las empresas u organizaciones no abordan de manera completa o adecuada los conceptos básicos de la seguridad de la información. En segundo lugar, las evaluaciones de riesgo del entorno de TI y los datos que contiene y / o procesa no se están llevando a cabo de manera completa y adecuada, o tal vez no se están llevando a cabo en absoluto.
Ambos problemas, los conceptos básicos y la evaluación de riesgos, se reducen a la documentación y los recursos adecuados. Los recursos incluyen personas debidamente capacitadas y conjuntos de herramientas de apoyo. La documentación debe ser completa y estar actualizada con auditorías periódicas para garantizar el cumplimiento. Suena oneroso, quizás al principio, pero con el tiempo, una buena documentación junto con los recursos adecuados se amortizarán con creces.
¿A qué me refiero con documentación? Para mí, incluye, entre otros, políticas, procedimientos, estándares, guías de trabajo y metodologías, incluidas evaluaciones de riesgos y amenazas, diagramas de red, archivos de auditoría, inventarios de hardware, software, licencias, los datos que se mantienen o almacenan, incluidas las copias de seguridad y Archivar datos, diagramas de flujo de procesos (esenciales para entornos virtualizados y en la nube), planes de continuidad del negocio y recuperación de desastres, planes de respuesta a incidentes de seguridad y planes de respuesta a emergencias y listas de contactos.
No olvide que los elementos de la documentación de TI deberán encajar necesariamente con otras divisiones de la empresa o servicios externos, que incluyen:
- Grupos empresariales que identifican quién posee qué pieza o conjunto de datos junto con declaraciones de quién o qué necesita acceder a los datos en cuestión, su valor y qué puede hacer un proceso o una persona o grupo de personas designado con los datos a los que están accediendo. Tenga en cuenta que no es el trabajo de TI decidir qué nivel de seguridad se debe aplicar a cualquier pieza o grupo de datos; esa es una función comercial. El trabajo de TI es interpretar los requisitos e implementarlos.
- Recursos humanos que cubren los procedimientos de selección y contratación de personal, etc.
- Cumplimiento, legal y regulatorio.
- Servicios de construcción que cubren seguridad de acceso a edificios, servicios públicos, manejo de aire, suministros de energía ininterrumpidos o de emergencia, etc.
- Agencias externas, incluidos: proveedores de servicios externos, por ejemplo, servicios basados en la nube; fabricantes / proveedores (licencias, actualizaciones y parches); proveedores de internet; consultorías de seguridad (para obtener información sobre amenazas y vulnerabilidades actuales, soporte secundario de seguridad de información, controles de salud de TI y pruebas de penetración); clientes en su caso: agencias gubernamentales.
En resumen, necesita documentación precisa y bien mantenida para permitir la gestión integral, la titulización y el soporte continuo de la infraestructura de TI segura.
Debo agregar un descargo de responsabilidad: nunca estará 100% seguro, pero con una buena documentación respaldada por mecanismos de respaldo probados, junto con un plan de respuesta a incidentes de seguridad, una empresa no debería estar muerta en el agua por mucho tiempo en caso de que ocurra una brecha de seguridad. .