La Seguridad de tu Empresa no debe tomar vacaciones, y si lo hace ¡tienes un problema!

Ojeando un artículo sobre la desclasificación de algunos posters colgados en la sede de la NSA, me fijé en uno que decía
La seguridad no toma vacaciones
Y comparándolo con el tipo de seguridad que publicitan las fuerzas de seguridad, que dicen que están a disposición las 24 horas, los 365 días del año, pienso:
¿La seguridad de la información no debería estar presente 24x7x365?
Vivimos en un mundo hiperconectado, donde lo primero en lo que se ha pensado es en conectar TODO. Desde ordenadores, portátiles, móviles, hasta llegar a neveras, teles, cafeteras, puertas..., y sólo después, han intentado aplicar la seguridad pertinente.
Explicado de otra forma, hemos construido la casa por el tejado. O, para no repetir siempre la misma frase: hemos construido la casa sin puertas ni ventanas, nos hemos mudado y una vez dentro, con todas nuestras cosas, es cuando nos paramos a pensar que quizá hubiera sido buena idea poner ¡puertas y ventanas!
Y ahora, qué hago por la seguridad de mis datos?
Pues podemos hacer muchos pequeños gestos que serán muy eficaces. Propongo los siguientes puntos:
✔ Transmisión de las preocupaciones a la dirección delimitando las fronteras de nuestros sistemas de información.
✔ Hacer una planificación correcta de los servicios críticos y tener copias de seguridad bien definidas y siempre disponibles ante cualquier desastre.
✔ Contar con un plan de continuidad de negocio. Y no sólo uno, sino un plan B, C... ¡hasta la Z! Si ocurriera algo, activar planes de contingencias, para que se pueda seguir dando el servicio.
✔ Hacer entender que: El dinero invertido en seguridad nunca es en vano.
✔ Formar al personal en seguridad de la información. Deben contar con una serie de conocimientas mínimos adecuados.
✔ Compartir noticias con los compañeros de lo que ocurre en materia de seguridad de la información. ¡Hay que estar actualizados!
✔ Definir y distribuir una política de seguridad a toda la empresa y mantenerla en constante actualización.
✔ Rodearse de proveedores de servicios y de soluciones seguridad que hagan de tus preocupaciones/problemas los suyos. Nos dará muestras de que ofrecen un servicio personalizado y cercano, y que probablemente nos acompañen siempre, en lo bueno y en lo malo.
Ciclo de Deming
Cuando estás certificado en una **ISO 27001** o en el **Esquema Nacional de Seguridad**, como es el caso de MHP, se hace énfasis en establecer, implantar, mantener y mejorar un **Sistema de Gestión de la Seguridad de la Información** (SGSI), según el conocido “*Ciclo de Deming*”:
PDCA – Plan, Do, Check, Act
Planificar, Hacer, Verificar, Actuar
Siendo éste un enfoque de mejora continua:
-
Plan (planificar): es una fase de diseño del SGSI de evaluación de riesgos de seguridad de la información y la selección de controles adecuados para mitigar riesgos existentes e incluso nuevos que se presenten.
-
Do (hacer): es una fase que envuelve la implantación y operación de los controles para securizar nuestros sistemas.
-
Check (controlar): es una fase que tiene como objetivo revisar y evaluar el desempeño de nuestros sistemas de información, en lo que se refiere a la eficiencia y eficacia del SGSI.
-
Act (actuar): en esta fase se realizan cambios cuando sea necesario para llevar de vuelta el SGSI al máximo rendimiento.
Como vemos, la seguridad no es un juego, ni un capricho de los administradores de sistemas, es algo más que eso y su repercusión puede afectar, desde a una empresa, a un colectivo, a un banco o incluso, a un país entero.
Se están viendo las orejas al lobo y cada vez estamos más concienciados, aunque de forma muy lenta. Hay que acelerar el proceso, ya que los malos siempre irán por delante a menos que seamos ¡proactivos!
En la seguridad de la información debe premiar la seguridad antes que la comodidad, y nunca hay que bajar la guardia, sea cual sea la época, instante o momento del año, y no, en vacaciones no se debe parar tampoco.
Así pues, para todos aquellos amantes y profesionales de la seguridad de la información y también para aquéllos que nos ven cómo un Can Cerbero, compartirles la siguiente cita de Frank E. Bird:
El profesional de seguridad es aquel que aconseja, evalúa, ayuda, facilita, enseña... pero no es aquel que deteriora, acusa, deprime, estorba, molesta, desmoraliza.