Primera entrada avanzada.
Vamos a escribir una guía para Pequeñas y Medianas Empresas para que sepan qué deben hacer para securizar su negocio.
Esta primera entrada va sobre concienciación, y muy seguramente sea el bloque más importante de todos. Os garantizo que si lo que escribo aquí os cala, acabaréis teniendo una empresa razonablemente segura.
Cuando hablamos de securizar una empresa, a los gestores les suena a «que alguien la haga segura» y listo.
Lo que voy a explicar ahora va parecer que es una charla motivacional de un influencer. Nada más lejos de la realidad. Por favor, sigue leyendo.
Lo que voy a contar en esta serie de entradas es un resumen del marco de referencia NIST Cybersecurity Framework, aplicando el NIST.SP.1300.
NIST es un instituto americano para la ciberseguridad reconocido a nivel internacional. Es uno de los más conocidos e importantes.
A nivel europeo tenemos las ISO 27000, que son a mi entender mejores pero de pago, así que explicaré las NIST que son gratuitas.
Al fondo dejaré más marcos de referencia.
Soy el gerente de una empresa. ¿Qué quiere decir securizar mi empresa?
Hoy día un gerente debe ver la seguridad empresarial como un área de negocio más de la empresa.
Debemos asumir que nuestra empresa va a ser atacada a nivel informático. Si genera dinero habrá alguien interesado en coger ese dinero en nuestro lugar, y si no interesada en desprestigiarnos, o cualquier otro motivo que se os pueda ocurrir.
No sólo eso. También tenemos que tener en cuenta la protección de datos. Si somos una clínica médica, es posible que alguno de nuestros pacientes tenga datos médicos que le interesen a alguien por el motivo que sea (el motivo que sea es que por ley estamos obligados a protegerlos casi tanto como la salud del paciente, o nos caerá una sanción importante).
Vale, pero eso quiere decir que es un activo, no un área de negocio. No tengo un departamento dedicado a llevar el servicio de alarma. Lo lleva contratos con la empresa de seguridad.
Por eso es necesaria esta guía. El mundo ya no es como lo conocemos.
Voy a poner un ejemplo.
Tengo una correduría de seguros, y el negocio tiene estas características:
- Cuando mis empleados cierran para irse a casa tienen por costumbre cerrar la puerta de la empresa sin llave
- Es normal, porque los días que los directivos se van a casa no se molestan ni en tirar de la puerta
- Las ventanas no tienen ni rejas ni cristal de seguridad, tienen un pestillo que se abre desde fuera
- El edificio es enorme, 30 habitaciones, pero sólo usamos dos despachos y un almacén donde están los archivadores. En el resto de habitaciones nadie ha entrado jamás
- El almacén sí que está cerrado con llave, pero los empleados dejan la llave encima de su mesa al cerrar
Estos puntos que he escrito arriba parecen lo más absurdo del mundo. Como os podréis imaginar, están escritos para que entendáis que eso es el equivalente en el mundo real de lo que para en el universo informático. La diferencia es que en el mundo real sois capaces de verlo porque habéis nacido en ese mundo. Para un hacker, ver puertos abiertos y buscar bases de datos de vulnerabilidades es como para un ladrón clásico buscar una ventana fácil de romper o incluso abierta.
Resumen de todo esto:
- La empresa nos la van a atacar
- Si nos la atacan nos costará dinero, prestigio, clientes…
- En términos empresariales, hay que ver la ciberseguridad como un área de negocio, no solo como contratar un servicio de alarmas para que no nos roben la tienda
Quiero explicar más el último punto.
Una tienda de zapatos con dos socias, María y Ana, y 10 empleados. Ana conoce el género, los suministradores, precios… y María conoce la clientela, los gustos, y es capaz de hacer el producto atractivo para que los clientes compren lo que ella quiere. Un ejemplo de modelo de negocio es que un área es el márketing, que lo lleva María, hacer atractivo su producto para su clientela, y otro es las ventas, Ana, conseguir poner los precios adecuados para el precio que están dispuestos a pagar los clientes.
En este ejemplo, tanto una como otra conocen lo que deben hacer para conseguir que su área prospere, y aunque están abiertas a debate, cada cual tiene claro que en su área no hay intromisiones. Una puede sugerir a la otra en su área, pero la voz cantante la lleva cada responsable.
Ahora vamos a meter la seguridad.
- Opción 1. La empresa simplemente contrata a un administrador de sistemas con rango equivalente a asistente de tienda para que controle la seguridad.
Este empleado hace un buen trabajo. Pone antivirus, firewall, securiza la red de ordenadores… hace un buen trabajo, pero al día siguiente Ana tiene que mandar la contabilidad al asesor fiscal en el programa que le ha suministrado, pero el puerto está cerrado y el programa no funciona. Tiene que llamar al administrador de sistemas para que lo arregle.
Al día siguiente María viene con una memoria USB de una feria de calzado, y tampoco funciona porque el antivirus no le permite usar los USB. Se repite la historia.
En principio se le había pedido que no permitiera dispositivos USB de memoria, pero este caso era una excepción.
Va pasando el tiempo y las excepciones son rutina. Como se ha relajado mucho la seguridad algunos empleados pueden instalar programas a espaldas del administrador de sistemas, las propias jefas se saltan medidas básicas de seguridad porque es más cómodo… y como al final las propias jefas hacen de la excepción rutina, todo el mundo hace lo propio.
El administrador de sistemas está cabreado porque nadie hace caso de las más mínimas medidas de seguridad, pero como por encima nadie le da importancia y es el de menor rango, al final no tiene fuerza para hacer la empresa segura.
La atacan y la culpa es del administrador de sistemas que no hizo bien su trabajo.
- Opción 2. La empresa se toma en serio la seguridad y María además de márketing toma el rol de jefa de seguridad.
María conoce el funcionamiento de la empresa y sabe lo que tiene que hacer y lo que no. Contrata al mismo administrador de sistemas, pero cambian cosas.
- Escribe una política de seguridad, donde deja claro a toda la empresa qué y qué no se puede hacer
- Crea una lista de riesgos a nivel de seguridad, de modo que sabe cuánto le merece la pena invertir en seguridad y qué secciones debe proteger más
- Le encarga al administrador de sistemas que securice la empresa
- Toma una serie de medidas que veremos en esta serie de entradas…
- Y lo más importante para el final. Se instaura como responsable de seguridad
Lo de instaurarse como responsable de seguridad no es ninguna tontería. Es quiere decir que uno de los dos cargos más altos de la empresa decide qué se puede hacer y qué no en caso de excepciones. Ya no vale «Yo solo enchufé una memoria USB con fotos del finde para compartirlas con los compañeros, no sabía que estaba infectado», porque responde ante la jefa de mayor rango, no ante un pobre infeliz que ni pincha ni corta. Ella es la que decidirá si el riesgo de enchufar memorias USB de una feria de calzado, considerando el beneficio potencial, es parte imprescindible del negocio (porque compensa el riesgo residual de introducir virus con las protecciones que tiene la empresa) o si se deben buscar medidas alternativas más seguras.
Esto que acabo de mostrar no es necesario que lo haga todo María. Puede encargar a una empresa que les implemente un modelo de seguridad, políticas, plan de continuidad de negocio… lo veremos todo en entradas posteriores. Pero lo que sí que indefectiblemente tiene que hacer es poner a alguien de la alta dirección como jefa de seguridad, y concienciarse (y concienciar a la empresa) de que la seguridad no se puede tomar a broma hoy en día.
Deja una respuesta