La seguridad de la red es un tema muy de moda últimamente con las noticias que llegan desde Sony en relación a su Play Station Network (PSN). Los datos de 77 millones de usuarios, incluidos datos bancarios y contraseñas, han sido robados por un grupo de hackers paralizando el acceso durante 9 días de la Play Station Network de Sony. A día de hoy se conocen aún pocos detalles sobre el suceso como la autoría, el alcance real del ataque y la finalidad de éste.Esta noticia lleva a varias reflexiones:
¿Si le ha pasado a Sony, podría suceder en mi organización?
¿Dispongo de las medidas de seguridad necesarias para evitar un ataque de hacking?
En caso que sucediera ¿Cuánto tardaría en detectarlo?
¿Nuestra organización puede permitirse soportar un escándalo similar?
A pesar de que Sony es una compañía fuerte y consolidada, todavía no se conoce el impacto que producirá en la imagen de marca y en la confianza de sus clientes, ya que la información robada es crítica por su repercusión mediática y por el temor de sus clientes a ver expuestos en la red sus credenciales y sus datos bancarios. Por este motivo es muy importante en nuestras organizaciones saber qué datos son especialmente críticos, quién tiene acceso a éstos y si están debidamente protegidos.
Las Auditorías de Seguridad o Tests de Penetración se realizan para prevenir este tipo de ataques. Se simula la ejecución de un ataque informático realizado por un hacker de la forma más realista posible. Estos proyectos son una buena forma de auditar la seguridad interna o perimetral de la organización, no sólo para ayudar al Departamento TIC a justificar inversiones que la organización no percibe como prioritarias, sino también para conocer la respuesta a estas preguntas:
¿Qué nivel de madurez tiene nuestra seguridad de la información?
¿Cuáles son nuestras vulnerabilidades críticas?
¿Qué debe cambiar en nuestro sistema o nuestros procedimientos para ser mejorar la seguridad?
¿Son efectivas nuestras medidas de seguridad?
Es importante destacar que no se audita la seguridad solamente a nivel técnico sino también a nivel de procedimientos y políticas. La mayoría de las vulnerabilidades que se encuentran en este tipo de auditorías pueden ser subsanadas aplicando medidas organizativas, políticas de seguridad adaptadas a la organización y formación a los usuarios. La concienciación de los usuarios a todos los niveles es fundamental en la seguridad, de nada sirven las mejores y más caras soluciones de seguridad sin unos procedimientos y sin una cultura de seguridad organizativa. Los resultados de un test de penetración son una buena herramienta para lograr dicha concienciación.
La seguridad de la información es una cadena que siempre se rompe por el eslabón más débil. Por este motivo, es imprescindible conocer las vulnerabilidades existentes para saber qué medidas pueden mejorar la seguridad proactiva, la seguridad activa y la seguridad reactiva. Llegando a la conclusión de que no deberíamos esperar sufrir un incidente para invertir en seguridad.
El ROI (Retorno de la Inversión) en seguridad es mucho mayor en la prevención que en la reparación, sobretodo porque existen casos en que el daño puede ser irreparable.
No hay comentarios:
Publicar un comentario