Los ciberataques llegan a las PYME

Ahora mismo es un escenario que parece exagerado pero ya podemos empezar a ver comentarios al respecto.

“En 2007 Estonia recibió un ciberataque (ahora alberga la sede del centro de la OTAN de ciberdefensa) y durante 2009 España recibió 40 ataques graves según el CNI… Aunque no son solo la administración estatal la que debe preocuparse, también la autonómica y la local. Al fin y al cabo también ponen cerraduras y alarmas. Pero ¿se están preparando las empresas?

Desde luego el porcentaje de ataques que pueden sufrir ataques informáticos dirigidos específicamente a su compañía es pequeño, al igual que ocurre con las personas individuales, se ven ataques directos a personas concretas y creación de troyanos especialmente diseñados.

¿Por qué ahora es un riesgo? Porque atacar informáticamente a una PYME es ya muy sencillo y barato, puedes “contratar” los servicios de un hacker para que realice un ataque directo que rebase las líneas defensivas (firewall, antivirus, control de accesos). Y el beneficio potencial en una PYME es mucho mayor que atacar a una persona concreta, primero su capital circulante (que es el dinero que puedes sustraer) es mayor, segundo, sus sistemas están mucho más informatizados, es complicado acceder a mis movimientos bancarios desde el exterior de la red de mi domicilio, efectuó pocos movimientos bancarios desde mi casa y el banco me protege de ataques con sus sistemas de claves, pero una PYME es diferente.

Por ejemplo, una PYME con Ms Dynamics o SAP, esta empresa efectúa pagos bancarios desde un programa estandarizado, es posible que si alcanzo el equipo de un usuario del departamento de finanzas pueda generar las entradas manualmente en la aplicación y “ordenar” un pago bancario fraudulento como una supuesta compra o modificar los datos bancarios de un proveedor real, y además este ataque puede que no se detecte de inmediato. Además de esto el robo de información privilegiada es potencialmente valioso para la competencia (aunque no creo que los competidores de las PYME jueguen a este tipo de opciones) o servir como “chantaje” o solicitar un rescate.

¿Qué opciones tiene una PYME? Para mi una estrategia de implantar ISO 27000 es la mejor opción, dotarte de una dinámica de gestión de la seguridad es el único modo de no ser especialmente vulnerable, debes ser más resistente al atacante que otras las víctimas potenciales, al igual que ocurre en la sabana africana la mejor opción para sobrevivir si eres una gacela es estar rodeada de otras gacelas más lentas, cuando ataque un depredador se “interesará” más por la más débil.

Los ataques a empresas son minoritarios, por lo tanto, evita ser parte de la minoría.

Relacionada: http://www.elblogsalmon.com/empresas/estan-preparadas-las-empresas-para-los-ciberataques

La detección de problemas es la joya oculta de ITIL

itil v3 cms

Es sorprendente que las implantaciones de ITIL (o pseudo-ITIL, como son muchas veces los service desk que se implantan como herramientas y no como procesos de gestión) dejan a un lado posiblemente la joya que mejor puede potenciar su departamento de TI, que para mi es la gestión de problemas con mucha claridad.

Si pensamos en ITIL v3 (aunque a mi me gusta más la definición de ITIL v2 que es mucho más sencilla) los procesos son:

  • Procesos ITIL de Estrategia del Servicio: Gestión Financiera, Generación de la Estrategia, Gestión de la Demanda, Gestión de la Cartera de Servicios (SPM)
  • Procesos ITIL de Diseño del Servicio: Gestión del Catálogo de Servicios, Gestión del Nivel de Servicio (SLM), Gestión de la Capacidad, Gestión de la Disponibilidad, Gestión de la Continuidad del Servicio TI (ITSCM), Gestión de la Seguridad de la Información, Gestión de Suministradores
  • Procesos ITIL de Transición del Servicio: Planificación y Soporte de la Transición, Gestión de Cambios, Gestión de Configuración y Activos del Servicio SACM, Gestión de Entregas y Despliegues, Validación y pruebas del servicio, Evaluación, Gestión del Conocimiento
  • Procesos ITIL de Operación del Servicio: Gestión de Eventos, Gestión de Incidencias, Gestión de Peticiones, Gestión de Problemas, Gestión de Accesos.
  • Service Desk (Centro de Servicio al Usuario) (Función), Gestión Técnica (Función), Gestión de la Operación de TI (Función), Gestión de Aplicaciones (Función).
  • Procesos de Mejora Continua: Medición del Servicio, Proceso de mejora de CSI, Informes de Servicio

Las compañías suelen enfocarse en la gestión de incidencias, la gestión de activos, de capacidad, seguridad, continuidad, cambios. Todos estos procesos son importantes, pero posiblemente gestión de problemas es el proceso que más rápidamente puede mejorar al departamento de TI y con menos coste comparativamente. ¿Porqué? Porque es el proceso que en más ocasiones se hace rematadamente mal en las compañías e incluso llega a no gestionarse.

Hay implantaciones de Service Desk que no contemplan la gestión de problemas y tratan los problemas como incidencias abiertas, lo que es un error de base, porque de ese modo no tratan bien ni las incidencias ni los problemas, los objetivos de ambos procesos son absolutamente dispares igual que su realización. Además el proceso de gestión de problemas tiene una gran ventaja, no es imprescindible utilizar herramientas para hacerlo, si hay un proceso que se puede hacer con papel y bolígrafo en ITIL es este. Es recomendable disponer de una herramienta, pero no imprescindible, lo que nos quita una barrera de entrada.

Todos los demás procesos ITIL se realizan en los departamentos de modo más o menos visible, mejor o peor y con un coste más elevado o más óptimo, la gestión de la capacidad es un proceso que puede ser gestionado de modo informal en muchas compañías donde la tecnología es tan “commodity” que adquirir nuevos sistemas o ampliarlos es una decisión sencilla.

La gestión de problemas es evitar los fallos reiterados que tanto penalizan a la imagen del departamento de TI, todo el mundo comprende que las cosas fallan alguna vez, la gente se desespera cuando falla siempre lo mismo día tras día.

Los resultados son tan visibles como mágicos, para los usuarios “las cosas comienzan a funcionar”, mientras que el usuario no percibe una mejora de servicio como reducir el tiempo de resolución de incidencias de 20 minutos a 10 minutos, o mejorar el ratio de resolución de la primera llamada de un 50% a un 75% conseguir eliminar los problemas subyacentes del servicio causa un efecto directo en la imagen de TI, la satisfacción del usuario y la mejora de la disponibilidad y servicio.

Para una adecuada Gestión de Problemas necesita un Service Desk o un Helpdesk, y una razonable gestión de incidencias, tampoco hace daño algo parecido a una CMDB o un catalogo de servicios pero no es preciso ser muy exigente en estos temas, los beneficios se puede obtener igualmente (aunque reducidos, pero ligeramente). Si quiere comenzar a implantar ITIL de algún modo, este es la mejor vía, la de menos inversión y la de más retorno, después de ello tendrá más credibilidad para afrontar el resto de procesos que pueda necesitar.