PyME es el acrónimo de “Pequeña y Mediana empresa”, y de acuerdo con la legislación de cada país difieren las posibilidades de una empresa para inscribirse en dicha categoría. Para su categorización, en algunos casos se consideran los niveles de facturación, mientras que en otros se tiene en cuenta el número de empleados con los que cuentan.
La fuerza productiva de las PyMEs en Latinoamérica supera el 50% del conjunto de la mano de obra ocupada, siendo en algunos países incluso el 90% de la fuerza laboral local. Independientemente de la definición, las pequeñas y medianas empresas poseen algunos factores comunes que atraviesan las fronteras y la legislación, especialmente con respecto al uso y disposición de tecnologías, aspecto que las diferencian claramente de las grandes empresas. Limitación en los recursos financieros asignados a la tecnología, y por ende, restricción de recursos tecnológicos; escasez de recursos humanos y de gestión en el área tecnológica, más específicamente en la inversión en el área de seguridad de la información; son algunas de estas características comunes que se pueden enumerar.
Los responsables de tecnología en las PyMEs frecuentemente se encuentran con dificultades para implementar medidas de seguridad de la información, y se observa que están muy distantes de las normas internacionales y mejores prácticas en la materia.
Directores, gerentes, ejecutivos de sistemas, administradores de red, soporte técnico, responsables de Recursos Humanos y otros integrantes de las organizaciones relacionados con la seguridad de la información en la empresa; suelen fallar a la hora de implementar planes a largo plazo en pos de mejorar la seguridad de la información de la organización.
En este sentido, suelen producirse errores frecuentes a la hora de comprender la seguridad de la información. ¿Cuáles son los principales pecados que cometen las PyMEs en la materia?
Pecado número 1: La seguridad es un problema tecnológico
La implementación de tecnologías de seguridad tales como firewall, antivirus, detectores de intrusos, controles de acceso, u otros, es una parte necesaria pero no suficiente para la seguridad de la información en una organización. Comúnmente, por motivos de limitaciones de conocimientos, presupuestos o recursos, suele restringirse la seguridad de la información a la implementación aislada de tecnologías de seguridad. Sin embargo, este acercamiento no resulta ser completo, dado que se omiten aspectos humanos y de gestión que resultan ser indispensables para el proceso de seguridad.
La gestión de la seguridad es el componente clave y primario para un plan exitoso de protección de la información en una PyME. Sin gestión no hay controles o medidas que provoquen un aseguramiento eficiente de los datos de la organización, o que se evalúen los riesgos a los cuales se está expuesto.
Para que esta gestión sea realizada de forma exitosa, debe comprenderse a la seguridad como un proceso dinámico, y además se tiene que trabajar en las siguientes etapas: relevar (análisis de la situación), planear (definición de un plan de controles de seguridad), ejecutar (implementación de las medidas) y monitorear (evaluar los resultados y sus posible mejoras). Finalmente, comenzar el ciclo nuevamente con el relevamiento.
Entre las principales medidas a considerar se encuentra la implementación de políticas de seguridad como componente principal del proceso de seguridad. Se define una política de seguridad como “una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán”.
Posteriormente, el proceso de gestión incluye el sub-proceso de clasificación de la información, mediante la cual se identifica la criticidad de toda la información de la organización; la definición de acuerdos y contratos, destinado a reglamentar y definir condiciones relacionadas a la seguridad; y la implementación de un plan de educación y concientización de los usuarios, destinado a acrecentar los conocimientos de los integrantes de la empresa en la materia para, de esta manera, disminuir los riesgos de exposición a diversas amenazas.
Todos estos elementos serán utilizados eficientemente si la organización y sus integrantes comprenden a la seguridad como un ciclo. Para tal fin, es indispensable la colaboración de múltiples áreas, principalmente de la alta gerencia, como responsable final del plan de seguridad.
Pecado número 2: Los incidentes de seguridad ocurren y deben corregirse
Los esfuerzos que los diversos integrantes de la organización realizan con respecto a incidentes de seguridad suelen ser desequilibrados, en comparación con las buenas prácticas recomendadas.
Se dice que la seguridad debe contar con medidas para los tres momentos de un ataque: antes, durante y después. El antes refiere a la prevención, a cualquier medida dedicada a evitar que un incidente ocurra. En esta categoría se incluye, por ejemplo, un software de seguridad antivirus, o un control de acceso autorizado. El después refiere a cualquier control existente para recuperar la información y el estado de los recursos en caso que ocurra un incidente. Por ejemplo, una copia de seguridad no evita el incidente, pero en el caso que cierta información sea comprometida, ésta podrá recuperarse en un estado razonable. Los controles restantes, el durante, son aquellos dedicados a la detección de incidentes. En el caso que cierta información sufra algún ataque, es importante poder detectarlo, y para ello es necesario contar con controles de este tipo. En esta categoría se incluyen, por ejemplo, detectores de intrusos o herramientas de auditoria y control de cambios sobre un sistema.
A pesar de que una correcta gestión de la seguridad debe incluir todos los tipos de medidas mencionadas, hay una falsa creencia respecto a la importancia con la que éstas deben ser consideradas. La prevención debe ser, ante todo, el eje de cualquier estrategia de seguridad.
En las PyMEs es un error frecuente la naturalización de los incidentes. Esto implica la asignación de muchos recursos para la resolución de incidentes en proporción con los recursos asignados a la prevención. Por ejemplo, en la prevención contra códigos maliciosos, es frecuente que estas organizaciones dediquen muchas horas de soporte técnico a la reparación de equipos infectados, en lugar de contar con un software de seguridad correctamente instalado en toda la red que prevenga las infecciones.
A largo plazo, los costos de prevención suelen ser menores que los costos de remediación, y claramente disminuyen los riesgos de manera notable. Es por esto que, en la asignación de recursos, la prevención debe ser prioritaria. El mejor incidente es aquel que no ocurre, y para ello las medidas de seguridad en la empresa deben estar preparadas para la prevención.
Conclusión
Implementar de forma exitosa programas de seguridad de la información en las PyMEs es una tarea compleja, ya que las brechas tecnológicas son amplias en comparación con las grandes empresas.
Contemplar todos los puntos necesarios para un plan correcto de seguridad es delicado cuando los recursos y el conocimiento en la materia son escasos, como suele ocurrir en pequeñas y medianas empresas. En ese contexto, suelen ocurrir los errores descritos en el presente artículo.
Sin embargo, lo que parece una tarea difícil es en realidad la suma de una serie de medidas organizadas, que son posibles de llevar a cabo si son incentivadas desde los cargos más jerárquicos de la organización, y son acompañadas con el compromiso de todos los integrantes de la misma.
La seguridad de la información es un proceso continuo donde cada etapa debe ser fuente de mejora para la siguiente. A pesar de los inconvenientes ya mencionados, este proceso es posible en empresas PyMEs, si se realiza con el compromiso y la convicción de que la información es un bien de valor, y que por lo tanto, debe ser protegido.
Sebastián Bortnik, investigador del laboratorio de ESET Latinoamérica
