19 de septiembre de 2022 - Autor: Alfredo Pedraza, Gerente de Ingeniería en Uptel de México.
Hace tiempo por recordar en tiempos mas remotos en los años 80?s cuando en las incipientes redes de datos , cuando Julián Assange unos de los primeros hackers atacaba las redes del Gobierno de los Estados Unidos de América se iniciaban de manera publica los ataques de seguridad.
Posteriormente nacían los Proxi´s y después los firewall´s pero los procesos de seguridad también fueron incipientes ya que con toda la cantidad de ataques, virus, gusanos, troyanos y toda clase de chinchulines comenzaron a desplegarse por el mundo y en los 90´s los antivirus ya eran parte del ecosistema de red por lo menos el primero en la universidad el que yo conocí fue Mcaffe y Norton, pero antes de llegar a los firewall´s y sistemas antivirus la seguridad se manejaba desde la capa 2 y 3 del enrutador en aquellos años , de hecho esa practica sigue muy vigente hasta nuestros días.
Por entonces la metodología de los procesos de seguridad han evolucionado de tal manera que es un hecho que es una materia muy extensa de mucha criticidad y que de alguna manera esta aparte dentro de una red de telecomunicaciones.
El proceso de Seguridad: Por qué debemos crear un proceso de Seguridad.
¿Qué pasa? Cuando un una empresa que empieza a crecer y lo hace tan rápido que obvio solo piensa en sus procesos productivos es decir , empieza a notar que para lograr sus objetivos básicos requiere infraestructura de computo y telecomunicaciones y puede que en ese ritmo cumpla con proveer de esta a sus usuarios para que puedan trabajar en el desempeño diario de sus labores, el problema se da cuando en todo este crecimiento desordenado no integramos procesos de operación o en su caso aplican para áreas muy especificas de la empresa como finanzas y administración, pero muy pocas empresas tienen en cuenta que la seguridad de su información es un activo que vale muchísimo dinero.
No saben como desarrollar esos procesos tanto humanos como técnicos para crecer a la par de sus otros activos, he platicado con administradores y dueños de empresas que en su pragmatismo piensan que es mucha inversión y que el negocio no da o lo dejan para cuando la rentabilidad sea tal que se puedan dar ese lujo, el problema no consiste en ver cuanto se debe de invertir en seguridad poner un firewall no resolverá el problema completamente. Sino en como este firewall empieza a resolver el que no se roben la base de datos de lo clientes, o el acceso de intrusos en áreas criticas de la compañía.
Sin una planeación en conjunto con el desarrollo de las otras áreas esta se vuelve como una simple caja mas dentro de la red, en mi experiencia cuando mostramos una de nuestras soluciones a los clientes y estos se muestran muy interesados y en gran medida ven que esto resolverá muchos de sus problemas pero no se piensa en el problema de los procesos de seguridad y este se vuelve un pendiente mas por que ya se adquirió la solución pero esta no se utiliza en su totalidad porque la empresa no tiene la certeza de como explotar una solución de seguridad con los procesos de su empresa porque? Pues por que no existen o porque son inadecuados conforme la tecnología y los problemas que estos buscan solucionar.
En efecto integrar un NGFW a la red resolverá muchos problemas pero sin la adecuación a los fines reales del negocio solo será una solución parcial. Mismo caso con los sistemas antivirus o la planeación de la red de datos, recuerdo las preguntas difíciles que muchos administradores de red me comentaban sobre los "issues" de seguridad en la red sobre todo en pequeñas y medianas empresas que como ya he comentado no tienen un área dedicada a esta materia. En le caso de compañías grandes donde si tienen esos recursos y los procesos de operación el problema pasa a instancias en donde muchas no tienen un manual de actualización de amenazas de seguridad.
Como iniciar el proceso: Orientar la solución al negocio
Primer paso
Podemos empezar a entender los procesos de seguridad si entendemos la operación de nuestro negocio el día a día para los retos que se muestran día con día, en la experiencia con nuestros clientes cuando se orienta la solución de seguridad al objetivo del negocio en esta cuestión podemos iniciar este proceso cumpliendo los lineamientos básicos de lo que se pretende proteger y así mismo es mas fácil adaptar la solución y conseguir resultados mas tangibles, por ejemplo dimensionando y segmentando las áreas criticas del negocio que esta solución deberá de proteger.
Pero que pasa cuando no tenemos al personal para crear estos procesos en nuestra experiencia hemos apoyado a empresas a crear estos procesos mediante consultoría entendiendo el objetivo de su negocio e iniciando desde los procesos básicos de operación y administración.
En muchos casos las compañías no están listas para adoptar estos procesos puede ser por desconocimiento o por falta de presupuesto. Por lo que recomiendo que la solución lleve un servicio de consultoría para orientar la solución al negocio.
Segundo paso. Orientar el proceso a la operación: Adaptar los beneficios de la solución a la operación diaria
En el caso de un "applaince" de seguridad como lo puede ser un firewall o distintos tipos de este para redes empresariales así como de software para proteger a la empresa de ataques de ransomware y otros virus informáticos se puede adaptar esta solución tecnológica a la operación diaria de la empresa integrando los beneficios de esta solución con los procesos existentes o incluso si estos no existieran.
Estos deberían de crearse o actualizarse con la operación diaria de la empresa buscando que los beneficios de la solución sean tangibles desde el primer momento de operación, estas situaciones se dan de manera permanente en la empresa pequeñas que tienen infraestructuras de red básicas pero que de igual manera sufren de ataques y robos de información. El orientar el proceso de seguridad a la operación es fundamental con la idea de maximizar los beneficios de la solución a la operación diaria de la empresa.
Si el proceso se crea de manera sencilla y es eficiente para que este funcione acorde a los objetivos del negocio, la operación podrá llevarse de manera eficaz es por eso que el conocimiento del negocio por el consultor es muy importante por que luego de adoptar estos métodos lejos de entorpecer la operación con procesos rígidos bien se pueden implementar procesos flexibles a la medida del tamaño de la empresa y la solución tecnológica de seguridad que hayamos implementado.
Tercer paso. Administrar la solución tecnológica: Administrar el proceso de seguridad
Una vez que tenemos los 2 primeros pasos podemos ejecutar la administración de la solución tecnológica que hayamos implementado en la empresa deberá de trabajar acorde a los procesos de seguridad que hayamos creado en primera instancia. Estos procesos deberán contar con planes de mitigación, prevención y solución de ataques, virus, malware, ransomware etc.
Así mismo la experiencia con empresas pequeñas y medianas que no cuentan con personal de sistemas o especialistas en seguridad, esta puede contratada a través de una empresa de servicios profesionales de seguridad, muchas lo hacen a través de la compañía de servicios de telecomunicaciones donde contratan sus servicios de seguridad informática y telecomunicaciones, las empresas grandes a través de su área de telecomunicaciones e informática.
¿Muchos emprendedores se preguntan cómo puedo iniciar una empresa si tengo que idear con procesos internos de operación? Supongo que la respuesta esta en valorar la seguridad de la información tanto como se valora el negocio mismo y eso no quiere decir que se tendrán que construir procesos complejos, sino que estos deberán de ser sencillos para que puedan ser administrados de manera eficiente y sobre todo ejecutados asequiblemente con el personal de la empresa.
Te invitamos a seguirnos en nuestras redes sociales y a seguir nuestros webinar en donde compartimos información de valor para tu compañía.
Comments