En lo que refiere al campo de la seguridad informática tenemos 2 formas de operar, bueno… en casi cualquier campo operativo, donde podemos ser:
- Reactivos, quiere decir que nuestras acciones dependen de que haya sucedido un hecho.
- Pro-activos, cuando nuestras acciones son para que en un futuro no sucedan ciertos hechos.
Obviamente, nunca vamos a poder ser 100% de una forma, pero si tenemos que tratar de ser 95% pro-activos, porque si somos reactivo para muchos hechos ya va a ser tarde. El ejemplo más claro es un robo de información; si somos reactivos lo único que vamos a conseguir es parar el robo una vez realizado, digamos que ( el “ladron”) ya van a tener mucha o toda la información en su poder, en el caso que seamos pro-activos el robo no se va a lograr y vamos a poder descansar de noche tranquilamente jeje.
Que es una auditoria ?
“Es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.
Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de información dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y Objetivos, identificando necesidades, falsedades, costes, valor y barreras, que obstaculizan flujos de información eficientes.”
Ahora bien, para ser pro-activos es fundamental FUN-DA-MEN-TAL conocer nuestro “campo de batalla” con el mayor detalle posible, y para comenzar con esa ardua tarea vamos a tener que realizar una análisis de campo o bien llamada auditoria:
- Auditoria interna, es el proceso por el cual se realiza un relevamiento detallado por parte de las mismas personas de la empresa. Que lo puede realizar tanto el sector de Seguridad Informática o bien el sector de auditoria. Más información…
- Auditoria externa, es el proceso por el cual se realiza un relevamiento detallado por terceros ( empresas o personas que se dedican específicamente a la tarea ). Más información…
- Auditoria asistida, es el proceso por el cual se realiza un relevamiento detallado por parte de las mismas personas de la empresa ayudadas por terceros. Estos casos se dan cuando no existe la capacidad, o conocimiento, interna suficiente para realizar la tarea y se utiliza el saber de externos para realizar la misma, también adquiriendo la competencia en el proceso.
Ahora bien, también existe un caso especial en muchas empresas grandes, donde tienen un sector de seguridad informática y un sector de auditoria interna, donde este último tiene la tarea de realizar controles sobre los diferentes sectores de la compañía para saber que estén realizando bien las tareas. Suelen realizarse auditorias con aviso y sin aviso, por mi experiencia las mejores son las que realizan sin aviso, para tener un ambiente más real. Después de esta auditoria, como de cualquier otra, se tiene que realizar un informe de negocio y un informe técnico, en los cuales se tiene que poner a los responsables en conocimiento de los defectos o problemas encontrados. Continuamente a eso, el sector de seguridad informática tiene que desarrollar otro informe comentando si los casos reportados son probables y las soluciones o formas de atacar los puntos reportados. En este momento es cuando se producen los roces entre los sectores, cosa que no es saludable para ninguno de los dos, ya que Seguridad Informática piensa o se toma las cosas como si auditoria estuviera atacándolos por las cosas que hicieran mal; como es de publico conocimiento nadie de nosotros hace el 100% de las cosas bien, entonces siempre es necesaria otra visión para podernos asegurar que estamos haciendo las cosas lo mejor posible; hasta el sector de Auditoria tiene que ser revisado de vez en cuando. Estos roces que les comento a veces llevan a que alguno de los sectores no comparta toda la información y esto es un perjudicial para ambos, ya que ambos tienen que trabajar en colaboración para mejorar la seguridad de la información.
Ahora si, cuando tenemos el detalle del campo de batalla, tenemos que proceder a confeccionar nuestro plan de ataque, como vamos a realizar las cosas, en que tiempos y analizar con cuanto dinero + recursos disponemos para cada una de las tareas. Iniciar los proyectos y sobre todo, realizar o dejar que nos realicen una auditoria continua, sino tampoco vamos a poder saber si las soluciones que estamos aplicando o las que aplicamos fueron las correctas ( el problema puede ser saber tarde que las soluciones que aplicamos no fueron las adecuadas ).
Y para ir finalizando la idea, el resto del tiempo dedicárselo a tareas operativas o tareas reactivas, ya que siempre se nos pueden escapar cosas, pero mientras mejor realicemos nuestros proyectos basados en tareas pro-activas, estas tareas reactivas serán menores, lo que nos dará un mejor resultado en la calidad de nuestro trabajo diario.
Como para la seguridad informática, como para la eficiencia de la organización, es primordial mantener la sinergia entre los distintos sectores. El flujo de la información confiable es necesaria para garantizar la calidad de los trabajos, esto tiene que ser una tarea en la que trabajemos todos.
Hola, muy buen artículo. Muchas gracias.
Hay veces que los problemas vienen dado por la dirección, porque no entienden o no les interesa cosas que si es de interés desde lo técnico.
Entonces asumen cosas que no son tales, o no asignan recursos (tiempo) para cosas que son de interés para que todo funcione correctamente.