viernes, diciembre 8, 2023
Ciberseguridadtic
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Debate unificar para identificar 2023
    • Debate transformando el comportamiento de los usuarios 2023
    • Debate afrontando la seguridad con MDR 2023
    • Debate seguridad de la empresa híbrida 2023
    • Debate gestionando la seguridad en la industria conectada 2023
    • Debate seguridad del email 2023
    • Debate cadena de suministro 2023
    • Debate indentidades 2023
    • Debate seguridad banca 2023
    • Debate Administraciones públicas 2023
    • Debate Zero Trust 2023
    • Debate Ransomware 2023
  • Reportajes

    Madrid Tech Show se consolida como evento de referencia del sector tecnológico

    017ENISE. “España tiene mucho que enseñar en materia de ciberseguridad”

    Los hackers no creen que una IA Generativa pueda reemplazar su creatividad

    Knox Matrix. Cuantos más dispositivos tengas, más seguro estarás

  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
    • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
    • INNOVACIÓN DISRUPTIVA
  • Suscripciones
No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Debate unificar para identificar 2023
    • Debate transformando el comportamiento de los usuarios 2023
    • Debate afrontando la seguridad con MDR 2023
    • Debate seguridad de la empresa híbrida 2023
    • Debate gestionando la seguridad en la industria conectada 2023
    • Debate seguridad del email 2023
    • Debate cadena de suministro 2023
    • Debate indentidades 2023
    • Debate seguridad banca 2023
    • Debate Administraciones públicas 2023
    • Debate Zero Trust 2023
    • Debate Ransomware 2023
  • Reportajes

    Madrid Tech Show se consolida como evento de referencia del sector tecnológico

    017ENISE. “España tiene mucho que enseñar en materia de ciberseguridad”

    Los hackers no creen que una IA Generativa pueda reemplazar su creatividad

    Knox Matrix. Cuantos más dispositivos tengas, más seguro estarás

  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
    • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
    • INNOVACIÓN DISRUPTIVA
  • Suscripciones
No Result
Ver todos los resultados
Ciberseguridadtic
No Result
Ver todos los resultados
Inicio Opinión

10 errores comunes al implementar un SGSI

Alexey Komlev, ICT Global Technical Hub Manager en DNV, comparte en este artículo su opinión sobre las razones por las que se producen los errores más comunes a la hora de implementar un sistema de gestión de seguridad de la información (SGSI).

EditorialPor: Editorial
noviembre 17, 2023 - Actualizado en diciembre 7, 2023
932
Visualizaciones
TwitterLinkedin

Por Alexey Komlev, ICT Global Technical Hub Manager en DNV

Durante mi trayectoria laboral en el campo de las auditorías de seguridad de la información, he visto todo tipo de situaciones, desde no entender qué significa la seguridad de la información como concepto hasta hacer un uso indiscriminado de las últimas tecnologías y herramientas de seguridad de la información.

Como auditor de diferentes normas de certificación, podría compartir múltiples anécdotas e historias inusuales, e incluso absurdas, que me han pasado durante estos últimos 10 años, pero que, por las razones obvias, no puedo desvelar. Sin embargo, lo que sí puedo compartir es mi opinión sobre las razones por las que se producen aquellos errores más comunes a la hora de implementar un sistema de gestión de seguridad de la información (SGSI). En este artículo, intentaré utilizar el menor número posible de tecnicismos y advierto al lector de que cualquier coincidencia con situaciones ocurridas en empresas reales es pura casualidad.

1.  Error: “Si funciona – no lo toques!”

Muy a menudo, una tecnología o herramienta de protección ha estado en uso en un sistema corporativo durante años sin ningún cambio o intervención por parte del personal técnico. No se instalan las actualizaciones o los parches, no se comprueban las vulnerabilidades o la configuración «histórica» que permite el acceso anónimo desde una red externa, etc.

“Va bien, ¿Por qué tengo que tocarlo?”

Cualquier hardware o software debe ser verificado periódicamente para ver su correcto funcionamiento y actualizaciones aplicables. En un SGSI la regla de “si funciona – no lo toques” no funciona. Un sistema de protección debe ser analizado y monitorizado a diario.

SGSI es verificar.

2. Error: “Mi ordenador es lo más importante”

Incluso en las grandes empresas, las actividades de seguridad de la información suelen realizarse únicamente en el marco de los procesos informáticos, sin tener en cuenta los demás componentes: la protección jurídica, organizativa, humana, etc.

“Si mi ordenador está protegido – ¡el resto no importa!”

La seguridad informática (todo tipo de soluciones digitales actuales) es estupenda y necesaria, pero cuando no hay un marco, unos procesos establecidos o unos planes claros de gestión y desarrollo del #SGSI, todas estas actividades no producen los resultados deseados. En algunos casos, incluso puede ser perjudicial.

SGSI es diseñar.

3. Error: “¿Qué hago después de la implementación?”

Hay muchos ejemplos de estos errores en la vida real: un cliente implementa un sofisticado software de prevención de pérdida de datos (DLP) o un sistema de gestión de eventos (SIEM), invierte miles de euros y espera un milagro. Pero los milagros no existen.

“Ya lo tengo ¿Y ahora qué?”

Este tipo de sistemas, al igual que cualquier otra herramienta de seguridad informática, requiere de un mantenimiento constante: actualización, parcheo, seguimiento, automatización, etc. Si no se establecen todos esos “procesos secundarios”, los costosos elementos de seguridad que se implementen no servirán de nada.

SGSI es actualizar.

4. Error: “La obsesión mata”

Algunos expertos en protección de datos (y de hecho la mayoría de personas) a menudo tienden a exagerar la magnitud del problema y tratan de proteger todo de todo. Eso es un error.

“¡Otra vez la VPN!”

Un exceso de protecciones innecesarias es tan malo como la falta de ellas. Al final conseguimos que los usuarios, obligados a adaptarse a un entorno incómodo, pierdan tiempo, dinero y salud. En el mejor de los casos, el resultado será la rotación de personal y, en el peor, el sabotaje deliberado del sistema de seguridad por un empleado o exempleado. Todo tiene que estar alineado con el contexto de la organización.

SGSI es alinear.

5. Error: “1, 2, 3, priorización”

Cuando tenemos varios frentes abiertos en la gestión de la seguridad de la información a veces es muy difícil priorizar.

“¿Qué es lo más crítico? ¿Por dónde empiezo?”

En este caso hablamos de orientar al propietario del sistema y/o al especialista en TI hacia ciertos nodos del sistema que afectan más a otros activos. Es necesario llevar a cabo un análisis de riesgo total/parcial del proceso/negocio.

Esto ayudará a priorizar de forma más coherente e implementar una correcta planificación de las acciones de protección en todos los segmentos del sistema de información: equipos, canales de transmisión de información, procesos y personal.

SGSI es priorizar.

6. Error: “Todo va bien”

Cuando una empresa lleva más de un año en el mercado, las actividades de protección de datos se han llevado a cabo durante el mismo tiempo y a menudo por las mismas personas. En este escenario, no se producen incidentes críticos, los jefes están contentos y la gente se acostumbra al modo de trabajo.

“¡Todo va bien!”

Si en una situación así nos limitamos a seguir la corriente y no realizamos comprobaciones periódicas del sistema de seguridad, corremos el riesgo de que cuando surjan problemas reales no estemos preparados para hacerles frente. La solución es sencilla: debemos ejecutar auditorías externas o internas de verificación de toda SGSI o únicamente de algunos procesos. Esto, sin duda, ayudará a ver la situación desde fuera, detectar las brechas o errores y, como resultado final, mejorar el sistema de gestión de seguridad de la información.

SGSI es auditar.

7. Error: “Tapando agujeros”

Si las actividades de SGSI de una empresa se consideran operativas, sin la estrategia y las tácticas adecuadas, toda la seguridad de la información se reducirá a que los usuarios trabajen con instrucciones escritas de hace diez años. Tratarán los mismos problemas, eventos y errores usando las mismas herramientas. En estos casos, las causas de los incidentes de seguridad pueden ser ignoradas (concepto “¡No lo veo, no existe!”) o malinterpretadas (“¡Algo pasa con mi ordenador, pero no sé qué es!”).

Al final, con este enfoque la empresa acabará cometiendo los mismos errores. Hay que recordar que una adecuada planificación y un buen análisis de los problemas permite una resolución precoz de los mismos.

SGSI es analizar.

8. Error: “Zona de confort”

Las buenas prácticas o el hábito de utilizar sólo ciertos productos “por defecto” impide a una organización siquiera considerar lo que ofrecen otras empresas o proveedores. Por ejemplo, las soluciones open source (software de código abierto) son herramientas que no suelen considerarse como posibles soluciones.

“¡Mi herramienta actual es la más segura!”

Las normas y la fijación por determinados productos no siempre son perjudiciales. En ocasiones, podemos encontrar una solución en un momento dado y para un sistema en concreto pero que va en contra de las normas y los hábitos establecidos. En esos casos, merece la pena no descartar esa opción de inmediato.

Hay que salir de la zona de confort y probar nuevas tecnologías, sistemas o herramientas. Eso sí, siempre analizando los riesgos asociados (el famoso Risk Analysis).

SGSI es arriesgarse.

9. Error: “Factor humano”

Por desgracia, uno de los errores más típicos y triviales es el conocido factor humano. Los sistemas se construyen por unos expertos en materia que también son personas. Durante el proceso de creación de una SGSI aparecen nuevas reglas, procedimientos, buenas prácticas, etc.

“¡Nadie me ha dicho esto!”

Sin embargo, no toda esta información se trasmite adecuadamente a los empleados (usuarios finales). Es esencial formar e informar a todos los empleados de las reglas básicas de seguridad de la información.

SGSI es enseñar.

10. Error: “Factor Top Management”

Punto 5.1 de la ISO27001: “La alta dirección debe demostrar liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información”. Para mí, este punto es el más crítico. Si la dirección no se preocupa por la seguridad de la información y, lo más importante, si no cree en ella, jamás podrá construir un sistema de seguridad que funcione.

“¿Para qué es esto? Esto nunca ha pasado.”

Es un hecho triste, pero cierto: en algunas organizaciones es necesario aplicar más energía y tiempo internamente para implementar los cambios en SGSI.

SGSI es liderar.

Ciberseguridad: una asignatura pendiente para las empresas

Me gustaría hacer hincapié en que todos los problemas descritos en este artículo se dan tanto en pequeñas empresas como en grandes corporaciones, es decir, donde no hay ni siquiera un especialista cualificado, o donde existen departamentos de seguridad de la información específicos.

De hecho, todos los problemas y errores pueden reducirse a tan sólo uno: la falta de un enfoque orientado a un análisis competente y a una evaluación de riesgos en todos los niveles y procesos de una empresa.

Recordad que un SGSI no es un simple “nuevo” antivirus, sino un conjunto de procesos operativos y herramientas tecnológicas.

Empresas especializadas en Seguridad de la Información y con presencia internacional como DNV pueden ayudarte a hacer frentes a los retos que supone la optimización del sistema de gestión de seguridad de la información de tu empresa.

Alexey Komlev, ICT Global Technical Hub Manager en DNV

 

Tags: BloquepremiumDNV

DESTACADO

Entrevistas

CrowdStrike: “Queremos crecer con nuestros socios capturando una mayor oportunidad de mercado”

diciembre 5, 2023

LISBOA. CrowdStrike cerraba 2020 con el nombramiento de Joan Taulé como vicepresidente de ventas para el SUR de EMEA. Con...

Leer más
Debates

Debate. Unificar para identicar

diciembre 7, 2023

Perdido el perímetro de seguridad tradicional, éste se ha movido hacia los datos y las identidades. El concepto Zero Trust...

Leer más
Entrevistas

Xabier Mitxelena: “Mi gran reto siempre es emprender y crear valor”  

noviembre 28, 2023

El pasado mes de septiembre, una semana después de que BeDisruptive anunciara la incorporación de Begoña Villacís como directora global...

Leer más
Entrevistas

CyberArk: “Las regulaciones no van a diferenciar entre un usuario humano o una aplicación”

noviembre 6, 2023 - Actualizado en noviembre 7, 2023

Con 24 años a sus espaldas, más de seis adquisiciones, una facturación anual de unos 600 millones de dólares, y...

Leer más

SOBRE NOSOTROS

CiberseguridadTIC es una publicación de T.a.i. Editorial con información y análisis para las empresas y profesionales de seguridad

Contáctanos: correo@taieditorial.es

SÍGUENOS EN:

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí

No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Debate unificar para identificar 2023
    • Debate transformando el comportamiento de los usuarios 2023
    • Debate afrontando la seguridad con MDR 2023
    • Debate seguridad de la empresa híbrida 2023
    • Debate gestionando la seguridad en la industria conectada 2023
    • Debate seguridad del email 2023
    • Debate cadena de suministro 2023
    • Debate indentidades 2023
    • Debate seguridad banca 2023
    • Debate Administraciones públicas 2023
    • Debate Zero Trust 2023
    • Debate Ransomware 2023
  • Reportajes
  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
    • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
    • INNOVACIÓN DISRUPTIVA
  • Suscripciones

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.