Llevar al máximo los niveles de seguridad a través de adquirir la última tecnología, implementar políticas de extensos y diferentes passwords para todas las aplicaciones con vigencia de corto plazo o el cierre de todos los puertos lo llevará a un estado de seudo seguridad y de ineficiencia. No todas las puertas necesitan candados ni todos los candados son del mismo tipo. Implementar seguridad total sin un análisis de sus riesgos reales puede ser una costosa e improductiva idea. Seguridad proviene del vocablo latino securitas y significa situación en la que se está al amparo de algún riesgo o peligro. Ciertamente inseguridad sería lo opuesto y equivale a decir que se está en riesgo o peligro. La seguridad ha sido quizás el tema más tocado por la industria y la prensa lo que subraya la gran preocupación que hay sobre este tema tanto desde el punto de vista tecnológico, como humano, operativo y legal. Lo primero que hay que tener claro es que la seguridad no es un producto que pueda adquirirse, conectarse y ya está listo. Por el contrario requiere de planeación, esfuerzo y disciplina. La seguridad permite la continuidad del negocio y hay que reconocer sus aspectos tangibles e intangibles para que pueda permear en la organización logrando impactos positivos. Un plan de seguridad exitoso incluye los siguientes aspectos: · Ponderación y balance de riesgos · Integración · Proactividad La ponderación y el balance de riesgos.- Determinan qué cosas son las que se deben proteger y con que grado de seguridad. El enfoque convencional considera a la infraestructura física (espacios de trabajo, PC’s, periféricos, etc.); las comunicaciones (infraestructura de redes de voz y datos); la integridad y confidencialidad de datos (respaldos, DB, management); el acceso a las aplicaciones (autenticación y políticas de administración); control perimetral (firewalls, detectores de intrusos, spyware, e-mails, spam); y control perimetral extendido (VPN’s, usuarios móviles, wireless, etc.). Otro enfoque es el de una visión alineada al negocio, el cual tiene una perspectiva de identificación de procesos de negocio clasificándolos en estratégicos, operativos y de apoyo. La continuidad del negocio depende de que pueda realizar sus procesos. Peter Drucker nos advierte “Mientras que es inútil intentar eliminar el riesgo y cuestionable el poder minimizarlo, es esencial que los riesgos que se tomen sean los riesgos adecuados”. Esta idea puntualiza la importancia de darle su verdadero peso a cada cosa. No todo debe tener seguridad máxima y para poder establecer su nivel correcto debe seguir estos pasos: 1. Identifique los riesgos. Elabore una lista de riesgos físicos y lógicos a los que está expuesto. 2. Pondérelos. Clasifique cada uno de los riesgos en catastróficos, críticos, marginales y despreciables en función del impacto que tendrían en su empresa en caso de presentarse. A esto se le llama valorar el impacto de la pérdida. 3. Estime la probabilidad de ocurrencia. Partiendo de los riesgos de mayor impacto (catastróficos y críticos principalmente pero no exclusivamente) estime la probabilidad de que el riesgo se presente y ordénelos de mayor a menor en cada categoría. Recuerde que las incidencias más frecuentes son las internas que implican un acceso y uso inapropiado de los servicios; después están las incidencias externas, las cuales están ligadas a las aplicaciones de contenido y redes. 4. Defina acciones para disminuir la probabilidad de ocurrencia. La intención es identificar los riesgos más probables y de mayor impacto para diseñar e integrar una serie de actividades encaminadas a disminuir la probabilidad de que se presenten. 5. Determinar actividades en caso de contingencia. Redacte una lista de acciones para disminuir o eliminar el impacto en caso de que el riesgo se vuelva contingencia. 6. Integre el plan de seguridad. Las acciones identificadas en los puntos 4 y 5 se clasifican en aspectos de productos tecnológicos, aspectos de personal y aspectos de procedimientos administrativos. Integración.- La seguridad es mucho más que una estrategia. Las acciones identificadas para disminuir la probabilidad del riesgo o disminuir el impacto en caso de contingencia deben estar articuladas considerando la combinación de tres factores fundamentales: Productos, Personas y Procedimientos (citados en el punto 6). Cada medida de seguridad contemplada en el plan debe incluir un componente de productos tecnológicos que la apoyen, uno de acciones a realizar con el personal y uno de políticas y procedimientos a seguir. Articular adecuadamente estos tres componentes permite tener una visión holística del riesgo y su plan de control. Recuerde que este triángulo es solo la punta del iceberg. Hablar de tecnología significa tanto hardware como software; hablar de personas implica hablar de distintos niveles jerárquicos y distintos perfiles, incluyendo personal de sistemas y personal usuario, capacitación, sensibilización, etc.; hablar de procedimientos administrativos incluye mecanismos de difusión, aplicación supervisión y control. Cada una de estas tres aristas tiene mucho material detrás. Proactividad.- La clave del éxito está en adelantarse a los problemas y tener acciones contempladas para evitar que sucedan o disminuir su impacto. Tom Gilb ha señalado que “Si no atacas activamente a los riesgos, ellos te atacarán activamente a tí”. Un plan de seguridad exitoso se basa en la proactividad, no en la reactividad. Actuar proactivamente implica un esfuerzo mayor, pero rinde frutos. Manténgase actualizado, brinde mantenimiento a sus productos, revise sus políticas, todo ello cíclicamente. Los riesgos y amenazas no son estáticos, evolucionan y esto obliga al Directivo de TI a revisar constantemente su plan de seguridad. Benjamín Franklin tenía razón cuando dijo: “In this world nothing can be said to be certain, except death and taxes”.