¿Qué debemos preguntarnos antes de comprar un producto de seguridad?

Cuando queremos proteger una infraestructura, un servicio, una información o unos datos en concreto, no se debe pensar que instalando un antivirus y un cortafuegos está todo hecho. Un SIEM, un cortafuegos o un antivirus son herramientas que nos ayudarán a proteger cierta información con mayor o menor eficacia. Existe multitud de equipos y soluciones de seguridad que dependiendo del presupuesto y del valor del activo a proteger se debería optar por una solución u otra.

Cuando un CISO llega a una organización debe plantearse varias preguntas antes de comenzar a comprar productos de seguridad:

¿Qué vamos a proteger? Realizar el inventario y el análisis de activos es una de las primeras tareas que se debe llevar a cabo, hay que identificar qué activos se están protegiendo actualmente y si es necesario seguir aplicando seguridad sobre ellos.

¿Por qué protegerlo? Una vez tengamos el listado de activos que hay realizar el análisis y evaluación de riesgos para conocer qué activos son imprescindible proteger para no tener pérdidas monetarias, de imagen o de credibilidad. En definitiva, debemos identificar aquellos activos que sean críticos para el negocio y que sin ellos sería imposible mantener el negocio y seguir adelante.

¿De quién? Cada activo debe tener un responsable a quién pedir explicaciones cuando suceda algo, pero ¿de quién protegeremos los activos? ¿quién no queremos que tenga acceso a nuestros activos? Obviamente a muchos se nos ocurre decir “que nadie acceda a mis activos”, pero sabemos que la seguridad 100% no existe y es una guerra de poder, el que más presupuesto tenga para atacarte más probabilidades tendrá para entrar en tus sistemas y robarte la información, ¿seguimos pensando lo mismo? No es lo mismo proteger la información para que el gobierno Chino no pueda acceder a tus datos que para que no acceda el de la tienda de la esquina.

¿Cómo protegernos? Ahora ya estamos en condiciones de elegir la solución de seguridad a implantar en la organización, en este punto decidiremos si debemos comprar sólo productos españoles, desconectar los equipos de Internet, si necesitamos un CPD de respaldo en otro continente o tan solo necesitamos una cámara de videovigilancia.

¿Cuándo lo protegeremos? No olvidemos este último punto, debemos conocer cuándo es necesario aplicar protección y en qué medida, como toda la información tiene un principio y un fin, debemos conocer el ciclo de vida de la información a proteger para dejar de consumir recursos de seguridad innecesariamente.

Como vemos estamos ante un enfoque basado en la defensa de los activos con una estrategia claramente dirigida hacia el negocio. Estas preguntas, fácil de hacer y difícil de responder, son las que nos ayudarán a definir la política de seguridad de la organización para garantizar en la mayor medida posible la confidencialidad, integridad y disponibilidad de la información.