Seguridad en entornos móviles
Tecnología y cambio cultural
La evolución de la tecnología hacia la movilidad es sin duda deseable, pero plantea retos de seguridad. Movilidad significa apertura, y a mayor apertura mayores son las amenazas para los sistemas de información. Cada una de las múltiples vías de acceso que nos facilita la tecnología es una puerta más que es necesario proteger.
Existen diversas soluciones tecnológicas para abordar este problema, pero lo más importante es tener un sistema de gestión de la seguridad de la información que cumpla con la normativa vigente. Es interesante a este respecto la norma ISO 27001, que de manera sencilla y certera recoge todos los puntos a controlar, así como procedimientos y políticas de uso interno.
La normativa relacionada con las políticas de seguridad tiene mucho que ver con la capacidad de las empresas de incorporar la seguridad a la cultura de la organización y de que toda ella se involucre y haga suyas las reglas, protocolos y recomendaciones de las normas. Como en muchos otros ámbitos, la tecnología es una extraordinaria herramienta para securizar los activos de información, pero por sí sola no basta. Es necesaria una labor previa de definición de las políticas adecuadas, dentro del SGSI, e incorporar efectivamente la seguridad en la cultura empresarial, y que se fomente y estimule su cumplimiento en todos los miembros de la organización. La mejor solución tecnológica puede ser inútil si luego los trabajadores no adoptan las buenas prácticas recomendadas.
Desde el punto de vista estrictamente tecnológico, se pueden esbozar algunas líneas maestras de lo que debe ser una plataforma que haga posible la seguridad en movilidad.
- Se debe contemplar la seguridad con un enfoque global que abarque toda la arquitectura de TI y que no se limite a ser una yuxtaposición de diferentes dispositivos que actúan de forma inconexa o fragmentada.
- La seguridad no debe focalizarse en las amenazas externas, con un enfoque estrictamente perimetral, pues alrededor del 80% de la amenazas provienen del interior de la propia organización.
- La seguridad ha de ser proactiva, no reactiva. Frecuentemente, el daño que las amenazas de seguridad pueden ocasionar es tan elevado que evitarlo es la única opción.
- Las amenazas actuales son tan rápidas y dañinas que las medidas paliativas no pueden dejarse en manos de los responsables de TI, sino que hay que automatizarlas
Dado que un alto número de amenazas se deben a un uso inadecuado de los recursos de TI desde dentro de la propia organización, se recomienda el establecimiento de políticas.
Juan José Martínez Pagán
Vicepresidente para el Sur de EMEA
Enterasys Networks
Existen diversas soluciones tecnológicas para abordar este problema, pero lo más importante es tener un sistema de gestión de la seguridad de la información que cumpla con la normativa vigente. Es interesante a este respecto la norma ISO 27001, que de manera sencilla y certera recoge todos los puntos a controlar, así como procedimientos y políticas de uso interno.
La normativa relacionada con las políticas de seguridad tiene mucho que ver con la capacidad de las empresas de incorporar la seguridad a la cultura de la organización y de que toda ella se involucre y haga suyas las reglas, protocolos y recomendaciones de las normas. Como en muchos otros ámbitos, la tecnología es una extraordinaria herramienta para securizar los activos de información, pero por sí sola no basta. Es necesaria una labor previa de definición de las políticas adecuadas, dentro del SGSI, e incorporar efectivamente la seguridad en la cultura empresarial, y que se fomente y estimule su cumplimiento en todos los miembros de la organización. La mejor solución tecnológica puede ser inútil si luego los trabajadores no adoptan las buenas prácticas recomendadas.
Desde el punto de vista estrictamente tecnológico, se pueden esbozar algunas líneas maestras de lo que debe ser una plataforma que haga posible la seguridad en movilidad.
- Se debe contemplar la seguridad con un enfoque global que abarque toda la arquitectura de TI y que no se limite a ser una yuxtaposición de diferentes dispositivos que actúan de forma inconexa o fragmentada.
- La seguridad no debe focalizarse en las amenazas externas, con un enfoque estrictamente perimetral, pues alrededor del 80% de la amenazas provienen del interior de la propia organización.
- La seguridad ha de ser proactiva, no reactiva. Frecuentemente, el daño que las amenazas de seguridad pueden ocasionar es tan elevado que evitarlo es la única opción.
- Las amenazas actuales son tan rápidas y dañinas que las medidas paliativas no pueden dejarse en manos de los responsables de TI, sino que hay que automatizarlas
Dado que un alto número de amenazas se deben a un uso inadecuado de los recursos de TI desde dentro de la propia organización, se recomienda el establecimiento de políticas.
Juan José Martínez Pagán
Vicepresidente para el Sur de EMEA
Enterasys Networks
