Brechas de seguridad: el freno para la transformación digital de la empresa

La cifra estremece: un 40% de las empresas confirmó haber sufrido una brecha —o más— de seguridad a lo largo de 2017. Seguridad, que no es algo baladí. Porque las amenazas están ahí y raro es el día que cualquiera de ellas no sufre una o no aparecen noticias en los medios que hablan de problemas relacionados con la seguridad. Y en pleno proceso de transformación digital. Ahí es nada.

El dato es de 2017, pero 2018 tampoco está yendo más allá. Sin ir más lejos, Gartner pronosticó en el pasado Gartner Symposium, celebrado en noviembre en Barcelona, que el gasto en TI sólo crezca un 2% con respecto al de 2018. Poco si consideramos que la seguridad es una de las partidas que más necesita crecer para hacer frente a la jungla que es la Red y su infraestructura, donde cada segundo surge una amenaza nueva o alguien ha ideado una treta para poner en jaque la protección de las empresas. Y las empresas han de emprender su proceso de transformación cuanto antes si lo que quieren es seguir compitiendo en un mercado cada vez más digital.

¿Atención? Cada vez más necesaria…

Porque hay que prestarla. A la seguridad, queremos decir. Que es lo que piensa Ramsés Gallego, Strategist & Evangelist de Symantec. “Un 40% de empresas sufriendo brechas de seguridad —que se conozca— es un número demasiado elevado”, reconoce. Porque una cosa es adaptar y adoptar tecnologías, considera aquel ejecutivo, pero otra bien distinta es darse cuenta de los agujeros de seguridad que se pueden crear si no se definen los procesos y procedimientos adecuados, o bien si no se contempla securizar y proteger los datos y canales por los que fluirá la información crítica. “Y eso genera oportunidades para los asaltantes en forma de ataque y/o violación del perímetro corporativo”, admite de nuevo.

Como considera Gallego, abordar la transformación digital de la empresa sin tener en cuenta la innovación radical que se requiere desde un punto de vista de protección y defensa, es toda una tragedia. “Lamentablemente, en demasiadas ocasiones la presión por el 'time-to-market' y sacar antes los productos o servicios al mercado evitan que se hagan las preguntas correctas a las personas correctas en el momento correcto. Y éstas no son más que conocer quién tendrá acceso a qué, desde dónde, cómo, por qué lugares transitan y 'viven' los datos que dan sentido a la corporación”, apostilla.

Y no es que las empresas no tengan conciencia de la importancia de los datos que utilizan para trabajar, que la tienen. La realidad actual de los negocios, movidos por la tecnología, facilita que no siempre se piense antes de enviar unos datos a través de una plataforma de colaboración —externa a la aprobada por la entidad— o poner datos en almacenamiento en la nube. De ahí que sea preciso —y casi necesario— recordar que diversos cuerpos normativos exigen tener control y visibilidad de dónde 'viven' los datos, cuáles son los canales de entrada/salida de la información y, aún más importante, quién tiene acceso a ellos. “Y esa exigencia es relativa a cualquier plataforma, cualquier entorno, cualquier dispositivo. Afortunadamente, hoy ya existe tecnología que no permite hacer eso, disponer de un control inequívoco y una monitorización completa de por dónde transita la información y qué gobierno sobre un set de datos debemos y podemos ejercer”, quiere añadir Ramsés Gallego.

… Aunque la cosa va por barrios

“Si tenemos en cuenta la estadística, no lo suficiente”, considera José de la Cruz, director técnico de Trend Micro Iberia. En su opinión, normativas como RGPD ayudan a que las empresas tomen conciencia de la necesidad de implar controles de seguridad, pero aún queda mucho margen de mejora. 

Porque lo que nadie duda es que la digitalización es un proceso que mejora el rendimiento de cualquier empresa. Así, grosso modo, les permite ser más veloz en los trámites, más eficaces en el tratamiento de la información. Pero no por ello no se deben obviar las preguntas instrumentales acerca del riesgo asumible por la empresa en ese proceso de digitalización. No debe ser óbice, repetimos, para cuestionarse los controles —necesarios— para conocer quién tiene acceso a qué, con qué permisos, durante cuánto tiempo, con qué finalidad...

Por consiguiente, es de capital importancia que se conozca qué ocurre en el gateway (la entrada/salida de la corporación), cuáles son los procesos y reacciones en el puesto de trabajo, qué pasa en las diferentes nubes donde existe información corporativa, cómo se comportan los diferentes centros de datos... “Debe existir una visión holística, completa y lejos de una visión parcial, monolítica, en silos. Eso nos parece crítico para el éxito en protección de la información”, sostiene Ramsés Gallego.

Puede leer aquí el resto del reportaje.