Es primordial, cuando se empieza a construir una empresa conocer las diferentes amenazas y riesgos virtuales que pueden existir. Porque la pregunta que uno se hace cuando intenta construir una empresa segura es ¿Por dónde empiezo?
Una creencia común es que se debería identificar inicialmente sus activos y provisionar recursos de seguridad basados en el valor de cada activo, aunque este enfoque puede ser efectivo conlleva algunas vulnerabilidades significativas. Por contra, otro enfoque es comenzar a evaluar las amenazas que se ciernen sobre la organización o empresa y sobre los activos de información o datos.
Los riesgos virtuales que afectan a la creación de una empresa
Por ejemplo, un activo de infraestructura puede suponer un coste pequeño pero debería protegerse con el mismo esfuerzo que un activo de coste elevado. Si no se hace así, el activo infra-protegido puede suponer un punto de entrada a nuestra red y proporcionar acceso indiscriminado a información valiosa y confidencial. Es por eso que las amenazas o riesgos virtuales son imprescindibles conocerlos desde diferentes enfoques.
Amenazas basadas en el modelo de Infraestructura
El primer lugar por donde comenzar es identificando los riesgos basados en el modelo de infraestructura de una organización o empresa. La pregunta es ¿de qué infraestructura se debe disponer para sostener las necesidades operativas del negocio?
Un pequeño negocio que opera con una única oficina tiene muchos menos riesgos que una empresa que opera en múltiples oficinas, incluyendo una fuerza de trabajo móvil que utilizan dispositivos móviles y ofreciendo productos o servicios a través de la web.
Una empresa que tiene un gran número de trabajadores remotos debe tomar medidas para proteger su información confidencial que potencialmente puede terminar residiendo en ordenadores personales no corporativos y fuera del control de la empresa.
Una empresa que posee múltiples y dispersos sistemas tendrá más riesgo potencial que una que los tenga localizados centralmente y que emplea plataformas uniformes.
Amenazas basadas en el propio negocio
¿Existen acaso amenazas específicas de un tipo de negocio en particular? ¿Se ha acusado a altos ejecutivos de actividades inapropiadas mientras se ha incentivado a los accionistas o a los empleados a atacar al negocio? ¿Existen individuos que tengan algún tipo de vendetta contra la empresa por algún caso real o imaginario? ¿Tiene la comunidad algún tipo de historial de antagonismo contra la empresa?
El equipo de seguridad o de gestión de riesgo debería estar preguntándose estas y otras preguntas de manera regular para ser capaces de evaluar el riesgo en tiempo real. Esta parte del proceso de seguridad se suele pasar por alto debido a estar centrados en las tareas del día a día pero es importante tenerlas en cuenta.
Amenazas basadas en el sector empresarial
Los negocios que pertenecen a un determinado sector se ven atacados de manera más frecuente y con mayor dedicación que los de otros sectores empresariales. Como por ejemplo, instituciones financieras o fabricantes de productos farmacéuticos por el robo de propiedad intelectual.
Y es por eso, que la identificación de tales amenazas requiere una implicación activa en grupos de trabajo dedicados al sector empresarial, en concreto en los cuales las empresas comparten información sobre ataques recientes o amenazas que han identificado.
Amenazas globales
Las empresas normalmente suelen olvidar que el hecho de tener una red conectada a Internet supone estar conectado al mundo entero. Si se detecta un “malware” en el otro extremo del planeta y resulta que ataca al mismo software que emplea una empresa, se puede tener la seguridad de que es posible que también, impacte contra la empresa. O, si grupos extremistas en otros países atacan a un sector en particular, también el sector en el que esté la empresa se puede ver implicado. Es por ello que no hay que descartar las amenazas globales por pensar que una empresa pequeña pueda verse afectada por ello.
En definitiva, una empresa debe preguntarse primero ¿Qué nos aporta Internet? es una de las principales cuestiones que debe hacerse. Evidentemente, la principal respuesta a esta pregunta es que Internet aportará a la empresa innumerables beneficios pero, también para poder obtener esos beneficios, una organización tiene que tener en cuenta los posibles riesgos a correr.
