Seguridad informática de una empresa

El concepto de seguridad informática en una empresa es tan amplio y extenso que en vez de una entrada de blog podría dar para un blog en sí, pero siendo contrario a mi mismo, intentaré ser breve.

Quería empezar con esta frase:

“La seguridad informática es inversamente proporcional a usabilidad”

Fue la frase introductoria del primer temario de un postgrado de seguridad informática que hice ya hace mucho años, pero que se me quedó marcada a fuego. Simple y llanamente, porque creo que es el enfoque a partir del cual debes de construir todo tu sistema de seguridad, y que desgraciadamente te lleva a una triste realidad (que ahora veremos).

¿Qué podemos hacer para proteger al 100% nuestro negocio?

Veamos…

… si mi empresa tuviera sus oficinas en un bunker subterráneo de 2000 metros de profundidad en la Luna, con todas las medidas posibles de seguridad implementadas (por supuesto con trampas de tiburones con rayos láser en sus cabezas), sin internet ni ningún otro método de conectividad,  trabajáramos con máquina de escribir Olivetti Lettera en papel y contratáramos a John Wick, Lobezno y Chuck Norris para que llevaran personalmente los documentos que generamos a nuestros clientes vía transbordadores espaciales…

¿Estaríamos de acuerdo en que sería un sistema robusto, seguro y a prueba de cryptolockers y troyanos?

Pero claro, no todo el mundo puede adoptar esas medidas. Nuestra empresa no puede asumir que un documento tarde 3 días en ser entregado a un cliente – en vez de segundos – o dispone de millones de dólares para securizar transacciones…

No es asumible económicamente o no es viable una experiencia tan mala para nuestros usuarios, no es un sistema “usable”.

Perdonarme por haberlo llevado a un extremo, pero era una forma gráfica de daros la mala noticia que os adelantaba:

La triste realidad es que nunca tendremos un sistema de seguridad informático en nuestra empresa 100% seguro.

En su lugar deberemos de ir rebajando nuestras expectativas desde el 100% hasta que se alineen con la realidad. Y la realidad puede ser muy distinta en cada empresa, eso no hace falta ya que os lo explique, cada adopción de medidas dependerá de cada caso. No hay una solución mágica, habrá empresas con mucho presupuesto que se acerquen al 99’999% y otras que asuman que podrán adoptar el mayor número de medidas posibles.

Hay mucho Partner Talibán suelto que te obligará a adaptarte a sus soluciones (eso es motivo de otro post, los incentivos de fabricantes para partners). Por ejemplo, todo aquel Partner que os venga imponiendo MFA con Microsoft Authenticator, explicarle que no todos vuestros empleados disponen de teléfono móvil de empresa y que no pueden usar su telf. personal. O que MFA por correo no siempre es posible. Solo por poner un ejemplo. Hay muchos sistemas de seguridad superválidos y recomendables, pero que dependiendo de la empresa serán viables o no.

Para implementar el máximo de medidas de seguridad informática posibles primero debes de saber:

• Qué es lo que quieres proteger?
• Buscar las soluciones adecuadas?
• Analizar el impacto en tus usuarios y explicarles en cómo les afectará en el día a día.

 

Implementar una solución EMM como Intune, que les impida instalar software no controlado por la empresa o que no puedan utilizar los puertos USB, sin haberlo explicado antes. Irrita mucho a usuario final si hasta ahora podía hacerlo, si esos usuarios son directivos la lucha contra el departamento de IT solo hace que comenzar o recrudecerse 😉.»

Luego por supuesto vendrá el siguiente punto.

El coste de poner en marcha y mantener las medidas de seguridad.

Aquí, un nuevo consejo esta vez dirigido a todos los responsables de seguridad (CISO, CIO/CTO o “Responsable de Informática” en función del tamaño de la empresa)

No os cortéis de cara a pedir dinero para dedicarlo a mejoras de seguridad.

Siempre que pidáis presupuesto interno dejar bien claro qué medidas se pueden adoptar y las que no para securizar tu empresa, explicando el porqué de las que no. Y que la solución propuesta no es un sistema perfecto (porque implica irse a la Luna, no tener internet y contratar a Chuck Norris como mensajero),  pero sí que es lo más robusto posible dentro de los límites de la empresa. Muchas veces se dedica un presupuesto X (donde X tiende a poco…) para implementar medidas de seguridad y en la cabeza de la directiva piensan que están ya a la par de las del pentágono.

Y por supuesto que sea siempre el departamento de administración o compras quien diga que NO a implementar medidas de seguridad, nunca tu cómo responsable de seguridad informática de empresa. Incluso si tienes Budget Anual asignado a IT y no es suficiente, pide un extra, justifícalo y lucha por él. Que tú no seas el stopper. Porque si no adoptas medidas de seguridad o no has pedido que se adopten, el día que te entren y te roben/cifren la información, ese día te pedirán explicaciones a ti cómo responsable (y podrás decir en caso negativo, que no se hizo porque no era viable o no había presupuesto).

Cómo podéis ver a estas alturas no tengo una fórmula mágica que te permita adoptar una mayor seguridad de la forma más fácil, aquí no hay magia. Es simplemente ver qué quieres proteger, qué medidas se pueden adoptar y cuáles no, negociarlas y validarlas, redactar un plan de ruta y ponerles un coste. En euros y afectación a tus usuarios. Que hemos vivido auténticos “dramas” en implementaciones de clientes VPN para usuarios en entorno de teletrabajo solo por obligarles a ejecutar una app, poner un user/pass para securizar sus comunicaciones con servidor/aplicaciones…

Si el día a día no te permite abarcarlo todo (esa es otra máxima, siempre tendemos a dedicar muchas horas en poner en producción entornos, pero no tantas para su seguridad informática, ya no queda tiempo para ello) entonces busca un Partner que te ayude, ICM o quien sea, pero de verdad, no lo dejes para un “futuro” por muy tranquilo que estés pensando en que tienes copias de seguridad. Que estas también se pueden encriptar si llegas a ellas o que para nada te valen si piden rescate en bitcoins para no hacer pública la información que te han robado.

Si nunca ocurre una desgracia y te entran por una brecha (que no hay nadie infalible ni sistema de seguridad perfecto), que al menos en tu conciencia y en tus mails internos quede constancia que has hecho todo lo que has podido o todo lo que era posible desde tu puesto de responsable de seguridad informática en la empresa.

Cómo siempre solemos decir por ICM, que las pocas horas que puedas dormir, que al menos sean tranquilas.

Hasta la próxima.