Uno de los interrogantes más comunes a los que se enfrentan las empresas es aclarar si el resultado final justifica la inversión. Con la escasez de dinero, esta pregunta está cada vez más presente. Dado que la seguridad TI, a menudo, puede ser vista como una inversión costosa, ésta es una cuestión crucial para las empresas. El departamento de TI tiene ante sí el reto de traducir el valor en lenguaje empresarial para el consejo, desde un punto de vista puramente técnico hacia otro que puede impactar de forma significativa en las pérdidas y ganancias.
Otro tema clave es la multitud de soluciones de seguridad que existen en el mercado - cada una diseñada para hacer frente a las diferentes amenazas de diversas maneras y en multitud de combinaciones. Frente a la confusión, a menudo, los encargados de tomar decisiones de TI parecen esperar a ver lo que están haciendo los demás, en lugar de evaluar estratégicamente lo que realmente necesitan. Esta actitud de "Voy a tener lo que el otro tiene" puede acabar costando muy caro a las empresas, endosándoles productos que no usan, o peor aún, exponiéndolos cuando sus riesgos son mayores.
Con esto en mente, la idea de que, en realidad, las necesidades de seguridad de cada uno son totalmente diferentes, es crucial. Por ejemplo, debido a los diversos tipos de datos almacenados en los archivos, una fábrica tendrá distintas necesidades de seguridad, que una de atención sanitaria - incluso si las dos organizaciones emplean al mismo número de personas.
Asimismo, una fábrica cuya producción se basa en la aportación electrónica de sus clientes tiene diferentes necesidades en materia de seguridad que un fabricante tradicional. Los encargados de tomar decisiones de TI, por tanto, necesitan pararse a pensar y elaborar un balance de las necesidades de la empresa y desarrollar un patrón a medida de sus propios activos, vulnerabilidades y riesgos. Sólo entonces podrán conocer exactamente dónde están y valorar lo que necesitan con el fin de equilibrar sus inversiones de seguridad de acuerdo a sus necesidades.
La Tecnología es sólo parte de la solución
Algunas empresas se ven atrapadas por el supuesto de que este tipo de cuestiones son desviadas automáticamente o simplemente se resuelven mediante la aplicación de un estándar de tecnología, proceso o política. Sin embargo, es posible que estas medidas no respondan completamente a los problemas reales que existen. El comportamiento humano en particular, es un factor imprevisible.
Recientemente, un 'ataque masivo' ha demostrado que existen más de 200.000 páginas Web fraudulentas que redireccionan a los usuarios a sitios Web que envían malware, diseñado para utilizar vulnerabilidades en Windows y otras aplicaciones. El ataque puso en peligro, incluso, a sitios Web de confianza, incluyendo el de una compañía de seguridad, demostrando así la verdadera necesidad de una evaluación y gestión sistemática para evitar estar tranquilo, con una falsa sensación de seguridad.
Las empresas que no tienen tiempo para evaluar las posibles vulnerabilidades dentro de sus propios sistemas pueden, fácilmente, estar expuestos a ataques, demostrando que la visibilidad es fundamental para la prevención.
Un acto de equilibrio
El enfoque estratégico para reducir los riesgos en una empresa es medir la calidad de los sistemas de seguridad a través de la gestión de vulnerabilidades. Este es un proceso de identificación, calificación y priorización de vulnerabilidades en el sistema. Esto asegura que las empresas estén especialmente protegidas allí donde se alojan sus activos más valiosos y, por lo tanto, donde existe el mayor riesgo. Esto es posible asignando un valor cuantificable e importancia a estos recursos.
Si somos capaces de fijar el punto donde la mayoría de las empresas tienen sus principales activos, es posible identificar cuales son las amenazas y vulnerabilidades más urgentes. De este modo, las empresas pueden concentrar su atención e inversiones donde más lo necesitan. Esto facilita la construcción de conocimientos especializados, la seguridad de la red y la creación de planes estratégicos de seguridad para mantener los nuevos programas de seguridad o los ya existentes.
Las empresas que han iniciado los procedimientos de gestión de vulnerabilidades tienen más probabilidades de gestionar los sistemas de forma eficaz, maximizando la rentabilidad y la seguridad ROI - los cuales contribuyen a crear oportunidades empresariales para el consejo.
Todo esto pone de relieve que los servicios y dispositivos de seguridad no pueden considerarse de forma aislada, sino como parte de un panorama más amplio. Lograr el equilibrio apropiado entre riesgos y recursos significa que los activos pueden ser protegidos de las amenazas con las medidas adecuadas. Esta prioridad basada en la protección es la mejor manera de ganar visibilidad y asegurar los bienes de valor
Asociación @asLAN.
