Siendo relevante los protocolos de ciberseguridad (en la información y telecomunicaciones), la industria está inmersa en una carrera de reingeniería para adoptar la tecnología tradicional a la economía virtualizada y se mantienen los mismos objetivos desde su inicio: confidencialidad, integridad y disponibilidad de la información o mensaje. Entrevistamos a José Luis García, experto en este tema y también Coach. Ha trabajado en varias empresas diferentes como Director de Sistemas de Información y de RRHH. Nos cuenta sobre las actuales tendencias del sector y da consejos de cómo asegurar la seguridad.

Ingenierios wanted

La industria de la seguridad ha puesto el foco de su innovación en la reingeniería necesaria para encajar a las empresas en la nube y en el Internet de las cosas (IoT) para la virtualización en numerosos negocios. No obstante, José Luis García Recio advierte de que “el problema es que en la gran mayoría de los casos no han sido diseñadas con la seguridad óptima”. En nuestro tiempo, el desarrollo de las telecomunicaciones, de la informática y de los dispositivos electrónicos, ha permitido canalizar, procesar, almacenar y difundir la mayoría de la información. Desde las Administraciones Públicas, pasando por las empresas y terminando con la mayoría de las personas que disponen de un teléfono. La cuestión clave surge de las vulnerabilidades que no son conocidas y de las que la industria no puede protegerse. Es un aspecto desconocido por muchas compañías, que confían en mantener la seguridad en la información con las actualizaciones de los fabricantes.

El negocio de la venta de estas “vulnerabilidades ocultas” se realiza en lo que llamamos “deep web”, y en contra de lo que podemos pensar, su utilización está muy extendida. Aunque no es el momento de describir las diferentes formas de flanquear la seguridad en la información, lo que me gustaría destacar es que los riesgos no están únicamente en los virus, phishing y malware, que es lo que casi todos conocemos, sino en aquellas vulnerabilidades más sofisticadas, casi indetectables y que son las que realmente hacen daño; sobre todo en compañías en las que se utiliza información de valor potencial para terceros.

Entrevistando a José Luis García Recio

  • ¿Cada cuánto tiempo deben de realizarse copias de seguridad?

Cada compañía debería tener su propia política de copias de seguridad que adecúe el alcance y la frecuencia de las copias de la información a las necesidades.

Si tuviera que poner una norma general, al menos deberían de hacerse tres copias incrementales diarias, y una copia diaria final a guardar en una ubicación diferente de las copias diarias. Las copias diarias deben guardarse al menos 30 días. La información que se considere crítica debería tener un sistema adicional de copias de seguridad, con un backup diferenciado en ubicación diferente y guardando la información al menos 3 meses.

Como resumen, las copias de seguridad se realizan para mantener la disponibilidad e integridad de la información y de los sistemas, y se debe de tener en cuenta:

  1. Crear una política de copias de seguridad, que determine el alcance y la frecuencia de la información a copiar.
  2. Verificar que las copias se realizan adecuadamente.
  3. Realizar una restauración de las copias de seguridad al menos cada tres meses.
  4. Disponer de varios dispositivos y lugares de almacenamiento de las copias de seguridad.

  • ¿Con qué frecuencia deberían de ser modificadas las contraseñas?

En este aspecto los responsables de sistemas nos encontramos con la disyuntiva de mantener una política de contraseñas reforzada, y la comprensible resistencia de los usuarios a cambiar con frecuencia de contraseñas. Al final es una cuestión que debe resolverse, determinar el nivel de seguridad que quiere asumir una compañía sobre sus activos de información. Este riesgo se incrementa cuando las compañías utilizan el sistema de “única contraseña” para el acceso al sistema y a todas las aplicaciones corporativas. Se denomina “Single Sign-On”, y cada vez es más utilizado. Como la caducidad de las contraseñas es un asunto que suele generar discrepancias internas en las empresas, existen alternativas de doble autenticación activas que permiten dar un nivel adicional de seguridad.

  • ¿Cómo se controlan los accesos a la WiFi corporativa?

Hay muchos modos de controlar el acceso WiFI corporativo. El primero evidente es conociendo la contraseña del WiFi, pero existen muchos otros controles.
Uno de los más eficientes es limitar las máquinas que pueden acceder, a través de la “matrícula” que tiene cada tarjeta de red, denominado “MAC” (Media Access Control).
Otro modo es limitar los accesos a un tipo o tipos de dispositivos; por ejemplo a los Smartphones de una compañía, o los de un determinado modelo,….
Existen muchos tipos de limitaciones de acceso o de tráfico que se pueden incluir en la política de seguridad que se aplica a los puntos de acceso WiFi.

  • ¿Quién debería ser la persona responsable?

La respuesta es compleja, ya que cada compañía tiene su propio control de la información. En mi opinión, la figura del CISO, o ejecutivo de seguridad, debería ser la persona que en última instancia autorice cualquier aspecto relativo a la seguridad en la información.

  • ¿Cuántas auditorías de información se deberían pasar?

La respuesta está más vinculada a los riesgos reales sobre la información que tiene una compañía, al valor de esa información y sobre todo, a la exposición de esta compañía en el gran sistema abierto que es internet.

Como mínimo, debería realizarse una auditoría de seguridad cada año: aunque el reglamento de la LOPD obliga a una auditoría cada dos años en ciertos casos, creo que la evolución de las vulnerabilidades y del uso de la información ha aumentado significativamente los riesgos. Esperar varios años implica que no se puede comprobar si la compañía se ha actualizado a los nuevos riesgos surgidos en ese período. Es el caso de la banca digital, creo que están encaminados al uso de sus contenedores en lugar de servidores, en cuyo caso habrá que decidir qué servicios decidimos mantener al margen. En definitiva, trabajamos para optimizar el ecosistema de futuro para todos.