COMO DEFENDER TU EMPRESA

El código abierto y la seguridad están estrechamente conectados. Los mitos

alrededor del open source -su vulnerabilidad a las amenazas informáticas, su
inmadurez para el entorno empresarial, la ausencia de quien responda por las
fallas- resultan hoy inverosímiles y sin fundamento. De hecho, el mundo
como lo conocemos hoy no podría existir si sólo se basara en software
propietario. El código abierto está presente prácticamente en todas las
actividades que individuos y empresas realizan día con día como los medios
sociales, compras y entretenimiento en línea, aplicaciones móviles, nubes
públicas y privadas, comunicación instantánea, entre muchas otras.
Su dinamismo, flexibilidad y la contribución de comunidades distribuidas por
todo el planeta lo han fortalecido y refuerzan su seguridad día con día. Sin
duda, su solidez radica en la colaboración de miles de individuos:
desarrolladores, proveedores de tecnología y usuarios, quienes unen
esfuerzos para resolver problemas, lanzar nuevas versiones y blindarlo para
resistir los embates de las amenazas informáticas emergentes y conocidas.
Empresas nativas digitales como Google, Netflix y Facebook surgieron
con el open source como su motor de innovación, reacción, adaptación y
crecimiento. En tanto, las organizaciones tradicionales no se han quedado
atrás y combinan sus sistemas legados con una nueva generación de
soluciones abiertas (TI bimodal como lo llama Gartner). Al mismo tiempo,
apuestan por nuevas tecnologías y tendencias –IoT, nube, movilidad,
virtualización- con el fin de mantener su competitividad y expansión.
Todo sin perder de vista la seguridad, la cual debe ocupar un lugar
central. Red Hat ha conformado una guía práctica de 5 pasos que ayudará a
las organizaciones privadas y de gobierno a lograrlo.
1. Diseñe.
Una empresa que se jacte de ser segura tiene que serlo desde el inicio con el
apoyo de un plan perfectamente estructurado. Es evidente que la
infraestructura que utiliza actualmente no será la misma en algunos años, o
incluso en seis meses. Contar con un plan integral puede ayudarle a superar
los problemas a medida que crezca; asimismo, considerar sus requerimientos
de gobierno y auditoría le será de utilidad para superar las amenazas que
pudiera enfrentar su diseño.
Una vez que se tiene un plan sólido, es momento de seleccionar a los
proveedores, conectar todo e integrar un modelo de seguridad. Esto tiene
particular importancia porque con tecnologías como la nube, un tercero es el
que pudiera tener mucho del control.
2. Consolide.
Construya con la seguridad en mente. La defensa proviene del diseño, e
incluye la encripción, la gestión de claves, firewalls, control de acceso, el
otorgamiento de privilegios y políticas para aplicaciones, entre otros
elementos. Como cualquier defensa, la revaloración constante de los riesgos
puede alinearse y adaptarse a las políticas de seguridad, la cual puede crecer a
medida que su arquitectura se amplía.
La adopción del cómputo de nube trae grandes beneficios, pero también las
amenazas aumentan al igual que la necesidad de utilizar todas las herramientas
a su alcance para mantener lejos a los criminales informáticos.
3. Automatice
Automatizar los procesos repetitivos resulta un recurso muy eficaz. Con ello
su empresa se protege contra el descuido y las brechas en la seguridad y el
cumplimiento que las inconsistencias y los errores humanos pudieran
provocar.
Es recomendable utilizar un lenguaje común entre la TI clásica y la nube a fin
de automatizar la aplicación de políticas. De igual forma, codifique las tareas
para asegurarse de que se estén realizando de manera correcta, segura y
consistente a través de diferentes infraestructuras.
4. Observe
En este punto, la vigilancia se convierte en su primera línea de defensa.
Implemente las herramientas y los procesos adecuados para observar su
infraestructura y ser alertado sobre problemas potenciales (vulnerabilidades
recién descubiertas, acceso no autorizado, cambios en las configuraciones).
La seguridad tradicional parte de la premisa de establecer y proteger
constantemente un perímetro. Sin embargo, siempre habrá amenazas internas
detonadas por el error de un usuario o totalmente deliberadas, de ahí la
necesidad de monitorear los incidentes de diferentes niveles como parte de
una práctica de seguridad estándar.
5. Reaccione y adáptese
Hay que tener esto siempre en mente: las brechas pueden ocurrir en cualquier
momento. Pero eso no es motivo para entrar en pánico; lo mejor que puede
hacer es aprender. La forma en que reaccione la empresa sentará las bases de
su seguridad para el futuro. Una respuesta expedita a una amenaza es
fundamental.