6. PLAN DE SEGURIDAD: PREVENCIÓN, AUDITORÍA Y PROTECCIÓN.

Todas las empresas deberían tener un Plan de Seguridad, pero muy pocas lo tienen. En él se deben identificar las amenazas que nos acechan, los riesgos que asumimos y el impacto que provocaría en nuestra actividad el que se materializara uno de esos riesgos.

Además, se identificarán las medidas de prevención que implantaremos, las auditorías, internas o externas, que desarrollaremos de forma periódica y como nos protegeremos cuando suframos un incidente de seguridad, definiendo lo que se denomina Plan de Respuesta ante Incidentes.

Sólo existen dos tipos de empresas: las que han sido atacadas y lo saben y las que han sido atacadas y no lo saben.

Ante esta afirmación sólo nos queda asumir que en cualquier momento podemos sufrir un incidente que pueda poner en peligro la continuidad de nuestra actividad y debemos prepararnos para recuperar esa actividad en el menor tiempo posible y con el menor impacto posible.

Las causas de estos incidentes, como ya hemos ido dejando entrever en este manual, pueden ser:

  • Directas, por lo que podríamos preverlas y mitigarlas:

o Daños materiales:

  • Inundaciones.
  • Incendios.
  • Fallos eléctricos

o Errores humanos, en un porcentaje muy elevado de las ocasiones.

o Robos/fugas de información.

  • Ajenas, por lo que debemos estar atentos y a la espera de que se produzcan en el momento más inesperado:

o Infecciones por Malware.

o Ataques dirigidos.

o Ocasionados por nuestros proveedores y/o colaboradores.

Los planes de respuesta ante incidentes, también denominados planes de continuidad de negocio, nos van a permitir tener previstas las acciones a llevar a cabo cuando se produzca un incidente que tengamos catalogado y tienen que tener en cuenta dos aspectos importantes:

  • El tiempo que tardaríamos en recuperar el sistema.
  • El tiempo máximo que podríamos soportar la caída del servicio, parcial o totalmente.

Estos dos factores condicionarán, en gran parte, las medidas que deberemos implantar. No serán las mismas para una empresa que se puede permitir el lujo de estar un día entero sin sistemas informáticos que aquellas empresas que no pueden parar más de dos horas.

Por otro lado, no pienses que esto son consideraciones que sólo deben realizarse en grandes empresas. Al igual que comentábamos cuando nos referíamos al cambio de mentalidad que exige el nuevo RGPD, teniendo que ser proactivos y no reactivos cuando hablamos de seguridad, deberemos entender que este tipo de acciones nos permitirán ser más eficientes y resilientes, obteniendo un impacto positivo para la empresa de cara a clientes y proveedores.

La creación de estos planes debemos realizarlos atendiendo a nuestra realidad, es decir, las medidas a adoptar deben ser proporcionales a nuestras necesidades y se basarán en la definición de objetivos y procesos.

Los objetivos, habitualmente, se centran en la recuperación del sistema, en un periodo mínimo de tiempo, manteniendo el nivel de servicio en los límites que hayamos establecidos como asumibles.

Los procesos seguirán las siguientes fases, siempre teniendo en cuenta la idea de mejora continua, es decir, una vez que lleguemos a la fase final volveremos a la primera para mejorar continuamente nuestro plan.

Ten en cuenta que las empresas y sus infraestructuras son dinámicas y esto influye en nuestros planes de seguridad ya que, seis meses, o un año después de haber definido objetivos y procesos, es posible que, por la prestación de un nuevo servicio o la incorporación de nueva tecnología en nuestra infraestructura, el plan anterior no se ajuste a la realidad de este momento, dejando inútiles los objetivos y procesos establecidos.

Las fases que definen nuestro plan se deben ajustar a las siguientes:

  • En la fase de Análisis, evaluamos las amenazas, riesgos e impacto, a corto y medio plazo.
  • En la fase de Diseño, definiremos las medidas que vamos a aplicar y los procedimientos de respuesta.
  • En la fase de Implementación, gestionaremos la incorporación de las medidas seleccionadas y estableceremos un calendario de programas de formación/concienciación para nuestros trabajadores.

Siendo el trabajador interno el eslabón más débil de la seguridad, es muy importante que entiendan los riesgos y las consecuencias que supone utilizar de forma inapropiada la tecnología que se le proporciona para desarrollar su actividad.

  • En la fase de Verificación debemos asegurarnos de que lo que hemos planteado en la teoría funcionará correctamente el día que suframos un incidente.

En ocasiones, volveremos a las fases de diseño o implementación si se observa en esta última fase que las medidas diseñadas no son tan efectivas como creíamos.

Una vez lleguemos a la última fase volveremos a la fase de diseño para volver a empezar, incluso aunque nuestros procesos productivos, servicio y tecnología no hayan cambiado. Cada poco tiempo aparecen nuevas vulnerabilidades que nos afectan y debemos estar atentos a los nuevos riesgos que nos acechen.

Todo esto se puede apoyar con la realización de auditorías internas y, eventualmente, externas. De vez en cuando es interesante que algún consultor externo nos permita tener una visión diferente a la nuestra, muchas veces condicionada. Eso de, cuatro ojos ven más que dos, también se aplica en estas situaciones.

Estas auditorías deben combinarse con la realización de simulacros que nos permitan estar preparados el día que tengamos que llevar a la práctica todos estos procedimientos que estamos desarrollando.

Por otro lado, es importante definir claramente cuales son los activos que queremos auditar, si serán todos o sólo una parte.

En definitiva, nuestro Plan de seguridad debe tratar todas y cada una de las siguientes medidas:

  • Medidas aplicadas a desastres naturales.
  • Medidas aplicadas a problemas estructurales de nuestras instalaciones.
  • Medidas aplicadas a problemas de Hardware.
  • Medidas aplicadas a problemas de los Sistemas Operativos: clientes/servidores.
  • Medidas aplicadas a problemas de Software.
  • Medidas aplicadas a problemas de la red interna y las comunicaciones externas.
  • Medidas aplicadas a problemas de las copias de seguridad.
  • Medidas aplicadas a problemas con la información (CIA).
  • Medidas aplicadas a problemas con el personal interno y colaboradores externos.
  • Medidas aplicadas a problemas con el patrimonio.
  • Medidas aplicadas al cumplimiento normativo y legal vigente.
  • Medidas aplicadas a problemas provocados por otros riesgos.

Como ves, buscamos minimizar las posibilidades de sufrir un incidente y definir cómo reaccionar cuando lo hemos sufrido y, aunque sea un poco simplista, podemos decir que una buena seguridad se basa en tres aspectos fundamentales:

  • El usuario debe tener mínimos privilegios de acceso. Es decir, sólo podrá acceder a aquellos recursos que estén directamente relacionados con la actividad que desarrolle.
  • Mínima exposición, es decir, sólo tener activo aquellos servicios informáticos que realmente ofrezco interna y/o externamente.
  • Tendremos un sistema de copia de seguridad, actualizado, que combine el almacenamiento local de esas copias con un sistema de backup en cloud, redundante, que nos permita tener fuera de la empresa la información.

Aunque son situaciones un poco extremas, piensa en lo que sucedió en los atentados del 11 de septiembre en Estados Unidos, o el incendio del Edificio Windsor en Madrid.

Las empresas que no tenían copia de seguridad fuera de las oficinas que estaban en esos edificios no pudieron seguir desarrollando su actividad, ante la imposibilidad de recuperar su activo más valioso.

Si controlamos estos tres aspectos reduciremos enormemente la posibilidad de sufrir un incidente y, si lo sufrimos, el tiempo de reacción y vuelta a la normalidad. El resto de los factores a tener en cuenta descritos anteriormente, no menos importantes, deben estar alineados con estos tres.

En definitiva: no desatiendas la seguridad informática de tu empresa. Evitarás pérdidas económicas, pérdidas de reputación y dolores de cabeza.