Soluciones Claro

¿Cómo implementar una estrategia de seguridad de la información?

Estimado lector: En esta entrada a nuestro blog, comentaremos los controles técnicos y administrativos “esenciales” para proteger tus activos de información. Dirigido a profesionales independientes, pequeñas y medianas empresas que no cuente con un Sistema de Gestión de Seguridad de la Información. Aquí encontrarán una guía que les mostrará por dónde empezar. Sabemos que esta área es bastante extensa y entre tanta información, es fácil perderse, es por ello que compartimos este resumen para ti.

Introducción

En estos años los incidentes de seguridad de la información van al alza a la vez que las habilidades técnicas de los atacantes son menores. Esto se debe a que cada vez es más sencillo generar ataques empleando herramientas “gratuitas” disponibles en la red.

La seguridad de la información, es una disciplina estratégica, se encarga de garantizar la confidencialidad, integridad, disponibilidad y trazabilidad. Una disciplina en la que la alta gerencia debe estar involucrada, dar el apoyo y asignar los recursos económicos necesarios. Si eso no sucede, las recomendaciones siguientes en esta documento, no dejarán de ser una lista de buenas intenciones.

La estrategia de seguridades es para proteger procesos, tecnología y personas, que al operar de manera interrelacionada, buscarán conseguir los objetivos de la organización. Entes que se encuentran expuestos a vulnerabilidades y amenazas que los atacantes tratarán de explotar para comprometer las propiedades de la seguridad de la Información.

Unas de las primeras interrogantes que nos hacemos sobre la Estrategia de Seguridad de la Información (En adelante ESI), es ¿Por qué debemos implementar una?; La respuesta rápida es la dependencia tecnológica de las organizaciones con sistemas informáticos críticos que se exponen a “entes” buscando tener un acceso no autorizado. No debemos olvidar que la tecnología siempre tendrá vulnerabilidades (conocidas o de “día cero”); si las personas que operan o utilizan esta tecnología no son entrenadas, podrían ser engañadas y caer en alguna herramienta maliciosa.

Es importante considerar antes de implementar una estrategia de seguridad dos elementos importantes como lo son: Costo y Esquema de operación.

Costo

Si bien hay muchas herramientas de código abierto y marcos de referencia gratuitos, disponibles en internet; siempre será necesario asignar recursos que dediquen tiempo a estudiar metodologías para implementar controles en una organización. Por otro lado se debe considerar que el costo del esquema de seguridad/controles no debe rebasar el costo del activo a proteger. Si bien calcular el valor de un activo físico “fácil”, cuando hablamos de información, datos o sistemas de información esto ya no es tan sencillo; por lo que recomendamos, al considerar el costo de implementación de una estrategia de seguridad, pensar en términos del costo de la interrupción del servicio, la imagen y reputación de la organización, así como en las posibles sanciones legales a las que podría quedar expuesta la empresa ante una fuga de datos personales de clientes o empleados.

Esquema de operación

La persona o unidad designada para llevar la ESI, deberá reportar jerárquicamente al nivel más alto de la organización, de tal manera que pueda informar directamente los problemas identificados, a la vez que se debe evitar el conflicto de interés, por mencionar un ejemplo: si se asigna el reporte a una persona del área de sistemas, el personal de seguridad de la Información podría no informar la problemática identificada por temor a perder su puesto de trabajo o a exponer a su superior.

Los expertos en seguridad de la información son escasos, hay un déficit de profesionales, por lo que puede ser complejo contratar a uno. En este caso puede echar mano de empresas externas que a nivel de consultoría puedan implementar esta estrategia con su organización. Normalmente estas empresas tienen experiencia basta por tener contacto con varios clientes. Debe asegúrese que el experto o expertos que sean asignados, realmente tengan el conocimiento y experiencia, esto se puede validar con algunas certificaciones que puedan ostentar, tanto a las personas como a la empresa contratada.

¿Cómo empezar?

Iniciar una estrategia de seguridad de la información a partir de las mejores prácticas, puede resultar para muchos una actividad abrumadora debido a la cantidad de controles que deben considerarse. Por ejemplo el estándar internacional de facto para la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), ISO 27002 en su versión 2013, tiene 114 controles en diversas categorías (14 dominios). Definir cual es aplicable a mi organización y en qué orden implementarlo, puede no ser lo suficientemente claro. Por tal motivo nuestra recomendación será definir qué controles se requieren en función de:

Un análisis de brechas (GAP Análisis)

Este proceso involucra una revisión de los controles de seguridad que puedan existir en la organización con respecto a un estándar. Esto dará como resultado el nivel de cumplimiento y recomendaciones necesarias para solventar la recomendación, e incrementar el nivel de seguridad de la información.

Análisis de riesgos

En este proceso se deben identificar los activos críticos de la organización, para después levantar un listado de las amenazas y vulnerabilidades a las que están expuestas y que pueden representar un riesgo para la operación de la empresa. A manera de un mapa de calor, se podrá identificar cuáles son los riesgos que se deben atender primero y la criticidad que representa mantenerlo como está actualmente. El resultado, puede ser un inicio en la definición de controles en la estrategia de seguridad de la información. En lo personal, me gusta más empezar por el análisis de riesgos, pues está diseñado, específicamente para “lo más importante” de la organización.

Controles técnicos

En cuanto a los controles de seguridad de la información, hay cuatro pilares que pueden ayudar a reducir hasta el 80% de los incidentes de seguridad, de acuerdo al Cyber Readiness Institute:

Contraseñas

  • Definir política de contraseñas: Un documento sencillo pero de alto nivel, escrito en el idioma oficial del país para que cualquier usuario pueda entenderlo.
  • Concientización de usuarios: Normas para utilizar contraseñas robustas y contenedores que permitan gestionar las contraseñas de los usuarios y estas se almacenen de manera segura.
  • Auditoría: supervisar la seguridad de las contraseñas de los usuarios.

Actualizaciones

  • Definir una política de actualizaciones de software: Documento sencillo pero de alto nivel, escrito en el idioma oficial del país, que sea entendible a los administradores de sistemas y donde se de la directiva y responsabilidad de aplicar las actualizaciones de seguridad.
  • Definir un estándar de aplicación de actualizaciones: Documento técnico en el que se indique como deben aplicarse las actualizaciones de seguridad en cada uno de los sistemas de la organización. Por ejemplo: Servidores Windows, Linux, estaciones de trabajo, dispositivos móviles, etc.

Concientización en Phishing y amenazas

  • Charlas, platicas y talleres no técnicos, a los usuarios de toda la organización, que utilizan activos tecnológicos (correo electrónico, equipo de cómputo, etc.), en los que se les informe de las amenazas informáticas a las que están expuestas, la manera en cómo identificarlas.
  • Establecer un procedimiento para que los usuarios puedan reportar cualquier incidencia o actividad sospechosa el utilizar dispositivos informáticos de la organización.
  • Realizar pruebas de phishing a los usuarios, para identificar si los conocimientos transmitidos en las charlas y talles se aprendieron correctamente.

Dispositivos de almacenamiento

  • Definir una política de uso de dispositivos de almacenamiento: Documento sencillo pero de alto nivel, escrito en el idioma oficial del país, que sea entendible por cualquier usuario y dicte las normas para uso de dispositivos de almacenamiento como: Memorias o discos USB y Nube.
  • Definir un estándar para el uso de los medios de almacenamiento, que le indique a los usuarios, cuales son los medios de almacenamiento autorizados por la organización.
  • Implementar suites de seguridad que protejan de malware los equipos en los que trabajan los usuarios y analicen los medios de almacenamiento.

Aquí se le presentaron algunos controles tecnológicos y administrativos básicos, que se recomienda implementar en una estrategia de Seguridad de la Información incipiente, estos le permitirán contar con controles genéricos que podrían apoyar en contra de las amenazas y vulnerabilidades que comúnmente circulan en la red.

Si quisiera que atendamos algún tema en específico, contacte a su ejecutivo de atención de Claro Empresas para más información.

¿Qué tan útil te resultó la información?

Haz clic para dar tu calificación

Puntuación promedio 5 / 5. Conteo: 1

Sé el primero en calificar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *