Hay cambios drásticos en las organizaciones, y si, se está
gestando de manera importante, cuando en la estrategia de negocios involucran
seguridad, usted quizá me dirá: ¿Pero si mi empresa vende letrinas? ¿Para qué y
por qué involucrar seguridad lógica en mi estrategía de negocios? Pues la respuesta es simple: el flujo de
información que se esta generando en todo momento, podría hacer que el rumbo de
su empresa cambie, cambios que pueden llegar a su extinción si la competencia
toma ventaja de información vinculada a la base de datos de su CRM debido a un
correo engañoso (phising) enviado a la secretaria del gerente de ventas que
adopto un ataque persistente avanzado (APT) perpetrado por algún elemento
vinculado a su competencia desde hace meses.
La gente me ha comentado en varias conferencias: ¿Pero por
que se ha llegado a esto? muy simple: la tecnología y la información van de la
mano. La tecnología bien o mal implementada ha hecho crecer a las empresas, los
negocios son exitosos, la globalización desde hace rato llego para quedarse, facilita
la vida de las personas, las hace más placentera y sencillas, por otro lado
esto impulsa que se genere más y más información que como consecuencia, se ha
visto afectada la privacidad de las personas y a su vez la seguridad de las
empresas.
Estos actos, penados por las leyes inclusive internacionales,
se están proliferando de manera significativa en varios países del mundo, y
aunque no ha salido a la luz púbica casos en las que se vean involucradas
organizaciones del sector privado en Venezuela o Latinoamérica, no pongo en
duda que tarde o temprano sucederá, ya se leen titulares donde gobiernos están
atacando a otros gobiernos (trataré de este tema en otro apartado) entonces ¿se
puede esperar que no tengamos una oleada en Latinoamérica?
En la deepweb se consigue de todo (y así lo es, no es un
mito) se puede contratar a un sicario o tratar con traficantes de drogas y
estupefacientes, también se puede comprar programas maliciosos, criptolocker, o
simplemente contratar atacantes para efectuar un ataque de denegación de
servicios distribuido (DDoS) a la página web de su empresa, si!, esa misma donde
cuenta con pasarelas de pagos, carritos de compra ya que la directiva
implementó una nueva estrategia para simplificarle la vida al cliente y asumió
el papel del banco y de esta forma hacer crecer el negocio, esto, ha traído consigo cambios potenciales
en el sector de seguridad lógica, términos como FaaS (Fraud as a Service), MaaS (Malware as a Service), RaaS (Ransomware as a Service), AaaS (Attacks as a Service), IaaS (Identity as a Service), RoT (Ramsonware of things) ya forman parte
del día a día.
El objetivo principal de SGSI 0526 como proveedores de
soluciones es aportar, cambiar la forma en como las organizaciones dejan vacías
las prioridades de seguridad por precisamente enfocarse solo en “el negocio” y
que se vea la seguridad lógica como parte fundamental “del negocio” inclusive como una estrategia
permanentemente adaptable y mejorable en su totalidad.
Es un proceso largo y demandante, pero bien valdrá el esfuerzo.
Soluciones a estos planteamientos: involucrar en su
estrategia a la seguridad lógica para la permanencia y crecimiento de la
organización, del tamaño que sea y venda letrinas o no.
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526