El pasado 10 de septiembre, David Taboada, Director General en código verde, expuso ante las audiencia de Expo Tecnologías TIC’s y Seguridad en Monterrey acerca de los 7 retos de la Seguridad Informática y cómo enfrentarlos, te dejamos aquí la reseña.

Reto #1 ¿Estamos seguros?

De no ser que antes hayan sido sometidos a un ataque es difícil asegurar que lo sean. Contratar a alguien que pueda atacarlos suficientemente competente y con el rigor técnico que requiere en una prueba de penetración hará posible encontrar todas las vulnerabilidades explotables que tienen sus sistemas. Cuando una organización se somete a una prueba de penetración debe recibir “la receta” de cómo lo arreglas ahora; un plan de remediación, el cual es importante que esté acompañado de soporte técnico tanto para la remediación como para la validación de que todo se haya hecho correctamente, es decir, que las vulnerabilidades explotadas que fueron detectadas ya fueron cerradas. En conclusión, debes someterte a un ataque para poder responder a esta pregunta.

Reto #2 ¿Fábrica de software o de vulnerabilidades?

Las aplicaciones en las organizaciones pueden ser atacadas por vulnerabilidades que surgen de 2 formas diferentes:

1. La manera en que la aplicación fue programada se presta para ataques. Esto sucede porque el programador carece de nociones de lo que implica programar seguro, por falta de conocimiento. Cada cosa que el programador no sepa y no haya aplicado conscientemente en la programación esto más adelante se convierte en una vulnerabilidad.
2. Si los administradores de sistemas, los que están a cargo de los servidores y de la red no saben de seguridad, se van a se encontrar entonces vulnerabilidades no asociadas a un mal código si no a la implementación de dichas aplicaciones.

Regresando al punto número 1, si no se ha realizado una prueba de penetración a las aplicaciones, será difícil asegurar si estas, están siendo programadas de manera segura.

Reto #3 ¿Cómo conseguir que toda la organización adopte prácticas seguras?

¿Qué estamos haciendo hoy en las organizaciones para asegurar que los empleados tengan prácticas seguras en México? Nada, no estamos haciendo nada. Desafortunadamente, la mayor parte de los ataques hacia las organizaciones provienen de las personas. Este es un gran reto que debe resolverse aplicando programas de concientización que vayan más allá de una plática, boletines semanales o pósters en la organización. Primero tienes que atacar al usuario. De esta manera podrán los usuarios saber las consecuencias de llevar prácticas inseguras.

Reto #4 Me están hackeando, o ya me hackearon, ¿ahora qué hago?

Las organizaciones necesitan tener  gente especializada en respuesta a incidentes, primeramente para que con el conocimiento técnico necesario sepan detectar que están sufriendo un ataque. Las organizaciones deben tener un proceso  de Respuesta a Incidentes de Seguridad Informática que establezca el protocolo de actuación.

Reto #5 ¿Cómo blindarte contra los ataques a la disponibilidad?

Es muy barato lanzar ataques a la disponibilidad y muy caro protegerse.  Más que encontrar el artefacto más caro en el mercado que promete la mayor protección contra los ataques a la disponibilidad las organizaciones necesitan un “traje a la medida” que permita encontrar la mejor solución para protección a su disponibilidad. La Seguridad Informática en las organizaciones es una administración de riesgos.

Reto #6 ¿Cómo planear las acciones y proyectos de Seguridad Informática?

Es necesario contar una planeación a 3 años y que esa planeación se vaya recorriendo año con año basados en la estrategia y plan tanto del negocio como de TI. Si esta planeación se inicia con una evaluación de la postura de Seguridad en el momento en el que se inicia la planeación así como con una lista de los hallazgos encontrados en las pruebas de penetración, podrás realizar un plan que te ayude a proyectar el qué vas a hacer después y el cómo debes operar ahora. De esta manera aprovechas más tu presupuesto, al tener un mayor margen de maniobra, organizas mejor el recurso humano que vas a requerir y puedes también ir a sentarte con la Dirección General con un plan en términos en los que ellos lo quieren escuchar; ¿qué vamos a lograr, cuánto te vas a gastar y qué requieres de la organización?

Reto #7 Sabemos que tenemos muchas deficiencias, ¿por dónde iniciamos?

La Seguridad Informática todavía no está suficientemente acreditada ante la Alta Dirección como una prioridad, por tal motivo, como responsable de la Seguridad en tu organización es necesario mostrar un resultado espectacular con poco dinero para que el siguiente año te vuelvan a apoyar.

Para lograr eso es necesario identificar los primeros mejores pasos, aquellos que con el 20% de inversión y esfuerzo te otorgarán el 80% de la elevación de la Seguridad Informática. Si quieres conocer más acerca de este estándar impulsado por código verde, contáctanos y te orientaremos para saber por dónde comenzar.