El Plan de Seguridad Tecnológica: ¿Opción u Obligación?
Cuando hablamos de proteger efectiva y eficientemente nuestros principales activos, pocas cosas resultan tan útiles como el Plan de Seguridad Tecnológica o Plan de Seguridad Informática.
En uno de los más populares artículos de nuestro blog ya abordamos ampliamente las consecuencias de las vulnerabilidades de hardware y software para la pequeña y mediana empresa. Si lo has leído, ya sabrás lo costoso que puede resultarte lidiar con los problemas que se derivan de esos fenómenos, que usualmente denominamos con sus términos en inglés, como “hacking”, “malware” y “ramsomware”, entre otros, además de los que surgen de las fallas de funcionamiento de tus equipos y procesos internos.
Al final de cuenta se trata de la pérdida de mucho dinero, de la reputación de tu compañía, de clientes, proyectos y hasta del propio negocio. Por eso, contar con un sencillo, pero bien elaborado Plan de Seguridad Tecnológica, adecuado a tus necesidades específicas es un imperativo que no puedes obviar, es un paso obligatorio en la seguridad de tu empresa. Ningún joyero dejaría sus preciosas gemas y joyas sin un poderoso resguardo.
Tu joya es tu negocio. Tu resguardo: tu Plan de Seguridad Tecnológica.
Planeando tu Seguridad Tecnológica: Haciendo Efectivo el Proceso
Tu plan no tiene por qué ser complejo, ni hay por qué demorarse meses para diseñarlo e implementarlo. Lo puedes hacer tú mismo, con tu equipo de TI o con la ayuda de un experto o “geek”, que por una módica suma te puede dar el primer aventón o acompañarte a lo largo de todo el camino, como mejor te convenga.
Lo más importante es comenzar con un buen diagnóstico que incluya un inventario bien organizado de tus equipos y sistemas (hardware y software), las principales vulnerabilidades conocidas al respecto y que potencialmente podrían afectarte, los estándares de seguridad de tu campo o sector, y la situación real en la que te encuentras: o sea, cuán vulnerable eres y “qué” y “cuánto” necesitas para estar protegido, al menos a un nivel aceptable.
Al elaborar tu Plan de Seguridad Tecnológica debes tener en cuenta que, aunque en primera instancia se trate de equipos, máquinas, computadoras, impresoras, redes, sistemas, procesos, software en general…, al final de todo siempre es un problema humano.
O sea, el principal riesgo, y a la vez, el principal recurso relacionado con tu seguridad tecnológica es el factor humano: tu equipo de trabajo y las personas que de una u otra manera te colaboran, y en mayor o menor medida interactúan con tu hardware y tu software. Por tanto, más abajo verás como la seguridad informática o cibernética incluye dos tipos de componentes, que a veces parecen mezclarse, pero en uno de ellos predomina la parte técnica o física, mientras que en el otro, el énfasis se pone en el lado humano del asunto.
Componentes de un buen Plan de Seguridad Tecnológica
Existe una gran bibliografía a este respecto, lo mismo en las bibliotecas del mundo físico que en Internet, pero tiene dos problemas: por una parte, resulta bastante compleja de entender (demasiado técnica) para el pequeño y mediano empresario no especialmente capacitado en problemas y soluciones tecnológicas; y por otra parte, pues casi siempre lo dibujan como algo inalcanzable para las PYMEs.
En este caso nos limitaremos a ofrecerte un breve, pero útil y práctico resumen de lo que no debe faltar en tu plan:
- El diagnóstico inicial y la periodicidad del control: o sea, no basta con identificar de inicio los problemas actuales y potenciales, sino que hay que mantener la vigilancia con diagnósticos parciales, rápidos, operativos y efectivos.
- El Proceso para Reportar Fugas y Fallas: muy relacionado con lo anterior. Debes establecer los avisos, las alertas que te avisen de un problema, o de la posible aparición de uno, antes de que sea demasiado tarde.
- La Política de Mantenimiento de los Equipos: la ausencia de un adecuado mantenimiento es causa de ambas cosas: fallas en el sistema y vulnerabilidades que son aprovechadas por los agentes externos.
- La Política de Actualización del Software: igualmente, la obsolescencia de un programa, sistema o plataforma digital (grande o pequeña) suele provocar fallos en tu operación, producción y/o entrega de tus servicios, así como brechas para los “hackers” y el “malware”.
- El Manual de Mejores Prácticas: no se trata sólo de saber cómo operar una máquina, o utilizar la impresora. Existen prácticas recomendadas respecto al uso del email, la sincronización con los dispositivos móviles y el establecimiento de contraseñas seguras, entre muchas otras.
- La Política de Respaldos: los llamados “back-ups”, tanto en la nube como en dispositivos físicos que tengas bajo tu control y resguardo, es algo que no puede faltar.
- La Política de Conexión de Dispositivos: si en tu negocio se permite el uso de dispositivos personales (laptops, tabletas y teléfonos inteligentes), todo tipo de interacciones con los equipos y procesos empresariales deben ser reguladas y controladas. El azar y la extrema confianza no son tus mejores amigos.
- El Programa de Entrenamiento de Empleados y Colaboradores: las personas se comprometen con aquello que conocen y cuando comprenden las consecuencias de tomar o dejar de tomar determinada acción. El Plan de Seguridad Tecnológica no es potestad exclusiva de tu experto en Informática o del “geek” que contrates para que te ayude. Es un asunto de todos en la compañía.
En dependencia del tipo de empresa y del hardware y software que utilices, es posible que tengas que incorporar algún que otro elemento (como las protecciones legales, por ejemplo), pero esperamos haberte reseñado las partes más importantes y que te haya sido útil para contar lo antes posible con tu propio plan.