EncuentrosSeguridad

Conocer las vulnerabilidades para hacerse fuerte

Para saber en qué estamos fallando y en qué hemos acertado, Computing se ha reunido con los proveedores Check Point, HP, Micro Focus y T-Systems; así como con clientes de diversos sectores de actividad en Madrid.

La tecnología ha avanzado a pasos de gigante durante los últimos años y la rueda no parece tener visos de frenarse. Que cada vez confiemos más en la tecnología para gestionar todos los ámbitos de nuestra vida, personal y empresarial, convierte al terreno digital en un campo de minas donde los ciberatacantes están al acecho de los que no protegen sus datos. Para saber en qué estamos fallando y en qué hemos acertado, Computing se ha reunido con los proveedores Check Point, HP, Micro Focus y T-Systems; así como con clientes de diversos sectores de actividad en Madrid.

Si bien es cierto que la sofisticación de los ataques ha aumentado, el problema no es tanto de complejidad, como de falta de protección al prescindir de herramientas que las compañías “ya no consideran útiles”, hasta que las brechas de seguridad salen a relucir. “WannaCry se podía haber evitado con tecnología de hace diez años, por ejemplo”; por este motivo, más que adquirir muchas soluciones, “hay que hacer una labor de concienciación para que se utilicen las que ya están implantadas”. No saber cómo utilizar estas herramientas o incluso desconocer que están a nuestra disposición, son razones de peso por las que la seguridad en las empresas, en ocasiones, se hace insuficiente.

A la hora de sacarle el máximo partido a la infraestructura que se posee es fundamental el ‘mentoring’ por parte del proveedor y, después, contar con el talento necesario para desplegar todas sus capacidades. Por este motivo, es vital elegir un proveedor o integrador que sepa acompañar a la empresa en el proceso. “Las grandes compañías dan el primer paso de adopción de herramientas y talento, pero luego no lo emplean; y las pymes, muchas veces, no pueden adoptar ni una cosa ni la otra”. En este contexto, la conclusión que extrajo Juan Cobo, jefe del Departamento de Seguridad de la Información de Ferrovial, es que “la gestión de la seguridad aún tiene que madurar”, y para ello hay que centrarse en “afinar la metodología y los procesos, y dar formación”.

Sin embargo, contar con profesionales especializados en seguridad no exime al resto de la organización de conocer y aplicar las medidas pertinentes, “este es un trabajo coral y de nada sirve tener a la gente mejor preparada en un área si el resto de la empresa va por libre”, explicó Carlos Asún, jefe de Seguridad de la Información de INITEC Plantas Industriales. Esta afirmación cobra mayor sentido en el mundo conectado en el que vivimos, en el que datos y sistemas están interrelacionados y una brecha de seguridad en un sistema se convierte en una puerta abierta para llegar al último rincón de la empresa.

En ocasiones, el CISO se encuentra delante de los directivos como los 300 contra el ejército de Jerjes

Llegados a este punto, Pedro Pablo López, gerente de Seguridad, Privacidad y Continuidad Global de Rural Servicios Informáticos (RSI), apelaba a la resiliencia, ya que “nadie está exento de ser atacado ni de caer víctima de la ingeniería social”. Lo que hace que una empresa esté bien protegida es su capacidad de reacción y recuperación ante los ataques. Tener un plan de reacción se sitúa al mismo nivel que tener uno de prevención, y este último pasa por “incluir la seguridad desde el primer boceto de cualquier plan o sistema, como una característica innata”. Sin embargo, no se puede aplicar la seguridad por diseño a los sistemas de información “sin antes establecer una estrategia de gobernanza de datos”.

Para acceder al contenido completo pinche en el PDF

Computing 782