Mientras refleja en el programa de seguridad a escala empresarial, tenía esta pregunta si las empresas de pequeña escala se benefician en absoluto de una prueba de seguridad ad-hoc ?
¿Cuáles son algunas sugerencias que resolverán los problemas de seguridad en una organización pequeña donde los recursos humanos no están disponibles en comparación con los de una escala empresarial?
Yo diría que cualquier prueba es mejor que ninguna prueba. El problema con las pruebas ad hoc es que corre el riesgo de crear una falsa sensación de seguridad o no está dirigido al nivel correcto. El negocio considera que tiene una seguridad general mayor debido a las pruebas ad hoc. Esto puede ser cierto, pero al mismo tiempo, debido a la naturaleza de este tipo de pruebas, es muy posible que no se haya identificado un agujero de seguridad importante.
La seguridad para las pequeñas empresas es extremadamente difícil. Además de la falta de recursos de personal disponibles para realizar el trabajo, con frecuencia también tiene un bajo nivel de conciencia de seguridad. Hacer las configuraciones técnicas básicas de manera correcta es relativamente fácil en comparación con asegurarse de que los usuarios del sistema estén informados y no hagan cosas tontas, como hacer clic en enlaces defectuosos en correos electrónicos sospechosos. Realmente no importa la cantidad de pruebas del software y la infraestructura que tiene implementada si uno de los usuarios va a introducir accidentalmente un código malicioso en su red y omite todas las medidas implementadas para proteger los sistemas.
Uno de los mayores desafíos en las pequeñas empresas es lograr que los propietarios se den cuenta de que la inversión en tecnología de la información es diferente a la inversión en infraestructura. Cuando invierte en nuevos activos físicos, como un edificio, muebles y accesorios actualizados, etc., una vez que se paga esa inversión, normalmente no necesitará mucha inversión / mantenimiento continuo. Con la infraestructura de TI, el mantenimiento continuo y la necesidad de una inversión continua tienden a ser mucho más altos. Muy a menudo, las pequeñas empresas piensan que pueden comprar un servidor, posiblemente pagarle a alguien para que desarrolle un poco de software especializado y ya está. No reconocen la inversión continua necesaria para garantizar que el servidor esté parcheado y actualizado, el mantenimiento de la parte simple del software para garantizar que se mantenga actualizado, sea compatible con versiones posteriores de software y sistemas operativos compatibles, y es parcheado contra amenazas en evolución, etc.
Mi enfoque es desalentar activamente a las pequeñas empresas de ejecutar infraestructura siempre que sea posible. Animo a las pequeñas empresas a aprovechar los servicios de SaaS y la nube. En la medida de lo posible, limite las TI que son realmente responsables de mantener al mínimo absoluto. Esto puede ser un desafío, ya que no entienden todos los costos ocultos; parece más barato hacerlo usted mismo. Debe exponer los costos ocultos para permitirles tomar una decisión totalmente informada y asegurarse de que esto incluye algunas pruebas / verificaciones regulares básicas, copias de seguridad automáticas confiables, etc. y asegurarse de que existe un plan para cuando las cosas fallan. El plan debe incluir cómo recuperarse de la falla, es decir, la recuperación de desastres, así como cómo continuar el negocio mientras se está recuperando, es decir, la continuidad del negocio.
En aquellas situaciones en las que la empresa no tiene otra opción más que ejecutar / desarrollar su propio software, busque soluciones que limiten su necesidad de invertir en seguridad. Por ejemplo, un proveedor de alojamiento donde la empresa de alojamiento se encarga de la seguridad del hardware y del sistema operativo y la empresa solo necesita preocuparse por la seguridad de la aplicación. Trabaje para ayudar a la empresa a desarrollar procedimientos que faciliten las buenas prácticas y la comprensión de los riesgos y trate de garantizar que realmente reflejen los riesgos reales que enfrenta la empresa (en lugar de simplemente implementar una buena práctica, evalúe los riesgos que las buenas prácticas específicas están diseñados para proteger contra y determine si eso realmente es un riesgo para esa empresa y reconozca que no puede eliminar todos los riesgos de seguridad; nunca hay suficientes recursos. Debe identificar exactamente cuáles son los riesgos reales para el negocio específico y priorizarlos para que los recursos disponibles para las pruebas ad hoc estén dirigidos a las prioridades más altas. Comunique claramente los riesgos que no se están abordando y cuáles son sus probabilidades y consecuencias para que la empresa pueda tomar una decisión informada sobre si necesitan invertir en recursos adicionales.
Lea otras preguntas en las etiquetas risk-management people-management