ESET: Tres claves para implementar un proyecto de seguridad informática en las Pymes

eset-seguridad-pymes
ESET,  presenta algunos consejos y buenas prácticas para que las Pymes puedan identificar engaños a través de la red de internet. 

Santiago, noviembre de 2015.– Aplicar medidas para gestionar la seguridad informática en las empresas suele generar anticuerpos en algunas pequeñas y medianas empresas (Pymes), que consideran estos recaudos como inversiones que están fuera de su alcance.

Sin embargo, existen riesgos que a la larga causan daños irreparables y que se traducen en pérdidas económicas para estas compañías. Según el estudio “Riesgos y costos de la piratería en Pymes en América Latina“, realizado por Prince & Cooke a 3.650 pequeñas y medianas empresas en 12 países de la región, los principales riesgos están asociados a la adquisición de software no licenciado.

Según la investigación, el 63% de los programas de software en Latinoamérica son ilegales y, como bien indica el informe, esta cifra “se encuentra por encima del 43% de piratería a nivel global“. Cuando se les consultó a las empresas sobre cuáles eran los riesgos ocasionados por el uso de software ilegal, el 69% respondió que el problema más grave era el contagio de virus o malware en los equipos, que podía dañar información sensible del negocio.

Pese a estos inconvenientes, las pequeñas y medianas empresas desconfían aún de invertir en seguridad informática. Es por eso que ESET entrega algunas consideraciones para aplicar un proyecto de este tipo en las Pymes:

¿Se requiere mucho tiempo y personal especializado para evaluar los riesgos?

En el contexto de la seguridad, una medida a tener presente en las Pymes se relaciona con la identificación y tratamiento de riesgos asociados a la información, al igual que en las grandes organizaciones. En otras palabras, se debe realizar una evaluación de riesgos, que si bien puede considerarse un desafío, puede ser resuelto a través del uso de algún método o metodología.

Por ejemplo, se han desarrollado opciones específicas para organizaciones más pequeñas, como es el caso de OCTAVE-S, pensado para empresas de 100 o menos personas. Surge a partir de la adaptación de métodos originalmente ideados para grandes empresas, como OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) u OCTAVE Allegro. Todas las versiones cuentan con documentación disponible de forma gratuita y emplean un enfoque autodirigido, por lo que la puede llevar a cabo por personal sin especialización en evaluación de riesgos.


¿Qué pasos puedo seguir para atender un incidente en una Pyme?

Retomando el tema de los incidentes, siempre existe la probabilidad de que alguna organización se vea afectada de forma negativa por este tipo de sucesos inesperados e indeseados. Del mismo modo que otros planes de seguridad, existen opciones enfocadas completamente en Pymes.

Una de ellas es el método de los Seis Pasos desarrollado por SANS Institute, ajustado a las pequeñas y medianas empresas. El primer paso consiste en la preparación y se refiere a la definición previa de las acciones a seguir en caso de que se presente un incidente. La segunda etapa es la identificación, donde distintos factores pueden dar la pauta para la identificación de un potencial incidente (por ejemplo el bajo desempeño de los sistemas y de la red), por lo que el personal de la Pyme puede ser un agente de identificación.

En función de las instrucciones generadas, se llega a la fase de contención, en la que como su nombre lo indica, se busca controlar la actividad anormal a través de la realización de los cambios necesarios en la configuración de los sistemas o red. Además, incluye otras actividades como la generación de respaldos.

La etapa posterior es la erradicación, que tiene como propósito remover o eliminar las causas del incidente, así como las consecuencias que haya generado. De esta forma, se puede llegar de forma gradual a la fase de recuperación y finalmente a las lecciones aprendidas.

¿Los planes de continuidad solo se aplican en grandes organizaciones?

Otros planes de gestión de la seguridad también pueden ser aplicados en las Pymes, principalmente porque siguiendo los mismos pasos y requisitos para realizar actividades como un análisis de impacto al negocio se pueden tener resultados aceptables dentro de las pequeñas y medianas empresas, con la principal diferencia de que el alcance se reduce considerablemente.

Esto se debe principalmente al hecho de que la complejidad entre procesos, así como las interacciones entre los mismos, es menor con relación a empresas de mayor tamaño. Por lo tanto, es muy probable que la cantidad de activos disminuya, acotando la recuperación y/o la continuidad de las operaciones, así como el tiempo dedicado al desarrollo y aplicación de estas medidas.

Lino Cisterna

CEO&Founder RevistaProware.com Aficionado a las Ciencias, Física Teórica, (G)Astronomía, Sociología, Psicología, Teorías de la Tecnología (AAT).

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *