Nada en este mundo es libre de riesgos, en especial las nuevas tecnologías. Acaban con los problemas de sistemas antiguos, pero a su vez generan otros nuevos. Gestionar los riesgos de TI es la mejor forma actualmente para mantener a tu empresa competitiva sin comprometer su seguridad.
Piensa en el Internet. Todos lo utilizan a un nivel personal, teniendo una cuenta en alguna red social. Al estar en la red, la persona es susceptible a que un tercero robe su información o identidad. Aun así, dejar de usar el internet no supone una solución, puesto que dejaría a la persona incomunicada. Ahí es donde entran las prácticas de seguridad.
Las bases sobre las cuales gestionar los riesgos de TI
Como cada vez más empresas las utilizan, se han creado muchos estándares de seguridad para gestionar los riesgos de TI. El problema es que no hay un solo organismo regulador, sino que existen muchísimos. Cada una define los riesgos y recomienda acciones para evitarlos de una manera distinta.
En lo que la mayoría está de acuerdo es en la manera de mitigar los riesgos:
- Identificar
- Analizar
- Evaluar
- Tratar
Otro punto en común que manejan los estándares son las bases sobre las cuales se construyen los controles de riesgos. Hay 3 características que toda información empresarial debe cumplir:
- Confidencialidad. La información de la empresa está oculta al público y solo usuarios autorizados pueden acceder a ella.
- Integridad. No se puede alterar o modificar la información sin la autorización del dueño. O en su defecto, sin que este se entere.
- Disponibilidad. Por mucha seguridad que tenga, toda entidad, persona o sistema que necesite de los datos debe ser capaz de acceder a ellos cuando haga falta.
Manteniendo los 3 principios básicos
Si no se puede garantizar la confidencialidad, integridad o disponibilidad de la información, entonces hay algo malo con el sistema. Gestionar los riesgos de TI significa aplicar técnicas de modo que estos 3 principios nunca se vean comprometidos.
Debido a que las vulnerabilidades, fallas y ataques pueden venir de muchos lugares, una estrategia efectiva necesita la combinación de muchas herramientas. Para cada empresa es diferente, pero hay 3 prácticas que todo buen equipo de ciberseguridad debe aplicar:
1. Monitorear constantemente el ambiente TI
Una de las más recurrentes herramientas que utilizan las empresas es la de almacenar información en la nube. Esto en sí mismo no es un riesgo, pero no llevar a cabo buenas prácticas de seguridad significa que otros pueden ingresar a esa nube.
Mucho se habla en las noticias de fallas de seguridad en los AWS bucket, servidores públicos que ofrece Amazon. En si la red no es vulnerable, pero se debe saber bien lo que se hace. Son las mismas personas quienes sin darse cuenta dejan una puerta abierta.
2. Evaluar la cadena de información
Rara vez en una empresa realiza sus mismas prácticas de ciberseguridad. Lo más común es recurrir a terceros, como por ejemplo Kenos. Muchas personas están cómodas hasta ese punto, pero varias compañías a su vez sub contratan servicios de 3ros.
Seguir la cadena de la información es corroborar que la seguridad se mantenga a lo largo de todas las compañías involucradas. A modo de ejemplo, hace poco muchas personas sufrieron pérdidas debido a un hackeo a unas billeteras de criptomonedas.
Mucho se culpó a la empresa detrás de la criptomoneda, pero el fallo fue de los proveedores de la billetera digital. Eso por eso que se debe conocer y monitorear toda la cadena de información para mantenerse a salvo.
3. Conocer las mejores herramientas de seguridad
Cuando se trata de gestionar los riesgos de TI, nunca se puede ser muy meticuloso. Cuando la información viaja entre distintos servidores u ordenadores, esta debería estar encriptada. Esto es utilizar códigos que solo conocen el emisor y el receptor.
De esta forma, aunque un 3ro intercepte la transmisión, no podrá tener acceso a la información. Otra herramienta sencilla pero poderosa es la del Firewall. Con esta se puede monitorear todo el tráfico que hay en una red, permitiendo la comunicación únicamente con sitios de confianza.
La tecnología está para ayudar
Gestionar los riesgos de TI es la manera en que puedes aprovechar de forma segura todo lo que tecnología tiene para ofrecerte. Todo es cuestión de organización. Si solo por miedo a sufrir un ataque no implementas las TI en tu empresa, no tendrás la más mínima oportunidad en el mercado tan competitivo de hoy en día.