Las mejores prácticas de seguridad: lo que deben saber los CEO

Cada año el número de incidentes declarados relacionados con la fuga de datos continúa creciendo, mientras las compañías siguen buscando la manera de proteger su activo más importante: su información.

Quienes trabajan en el ámbito de la seguridad y protección de información han tenido que lidiar desde siempre con los problemas de fugas de datos que surgen del correo electrónico, de la mensajería instantánea y de otros canales de Internet. Pero hoy, con la proliferación de tecnologías de movilidad, es más fácil que nunca sufrir una pérdida de datos, bien sea de manera accidental o bien de forma explícitamente maliciosa.

Las empresas necesitan una estrategia de seguridad coherente y un proceso fiable para mantenerlas actualizadas con las últimas tecnologías. Sólo así es posible hacer frente a futuras amenazas.

En 2008, el Identity Theft Resource Center (Centro de Recursos para casos de Robo de Identidad) documentó 656 infracciones relacionadas con la fuga de datos, lo que supone un aumento del 47 por ciento de los casos reportados con respecto al año anterior.

La seguridad es un elemento crítico para los sistemas TI de las organizaciones por varias razones. Por un lado, las empresas deben protegerse de las personas que podrían robar o destruir su información y servicios. Por el otro, las regulaciones gubernamentales como Sarbanes-Oxley significan que las corporaciones deben saber quién tiene acceso a qué información y cuándo.

Todas las empresas que cotizan en bolsa tienen que cumplir obligatoriamente con estos reglamentos y las insuficientes políticas de seguridad y controles son los culpables, en gran medida, del aumento del coste de este cumplimiento.

Además, muchas empresas están virtualizando algunas de sus estructuras de negocio para ser más eficientes y ágiles. La colaboración con los socios de negocio es ya tan importante como la colaboración entre los empleados.

Las empresas deben integrar procesos y federar identidades más allá de los límites de la compañía. En consecuencia, la seguridad es el primer obstáculo. Más específicamente, las empresas han de diferenciar a los empleados de los socios y definir cómo acceder a los sistemas TI internos como soporte a estos procesos integrados.

En este punto, las compañías necesitan un proceso que identifique a las personas adecuadamente, como dar un identificador para que puedan iniciar la sesión, otorgar los permisos de acceso apropiados y gestionar todo el sistema.

Por esto, estamos en condiciones de asegurar que el grueso de sistemas de seguridad no se ha concebido para trabajar más allá de la empresa. Las tecnologías emergentes habilitan nuevas capacidades, pero no basta  con instalar un producto. La política empresarial y el procedimiento son aún más importantes.

Si miramos cómo evoluciona el mercado en estos ámbitos, las tendencias apuestan por consolidar la gestión de la prevención de fuga de datos (Data Leakage Prevention -DLP-), los derechos digitales (Rights Management Services -RMS-) y el control de las características de los dispositivos. La DLP, en primer lugar, reconociendo datos sensibles durante la inspección de contenidos (servidores de archivos, bases de datos, portátiles...).

La RMS, restringiendo las acciones que se le permiten realizar a un usuario (no permitir la impresión, copiar y pegar…) allí donde la información pueda escapar al control de los responsables de TI. Y, por último, el control de los dispositivos para prevenir que datos confidenciales salgan de los sistemas corporativos en dispositivos de almacenamiento, como USB.

Sin embargo, todas estas medidas pueden quedar rápidamente reducidas a la nada cuando introducimos en la ecuación a las personas. Nuestro comportamiento social, la falta de criterio, etc. pueden quebrantar con extrema facilidad cualquier iniciativa tecnológica que llevemos a cabo.

Y es por ello que toda la organización sin excepción debe estar implicada, educando donde sea necesario, trabajando en políticas de uso que ayuden al gobierno y asegurando que el desarrollo de las aplicaciones integre mecanismos de protección de datos.

Aunque no hay respuestas fáciles cuando se habla de la protección de los datos y activos de las empresas, desde Avanade consideramos una serie de aspectos fundamentales que permitan disponer de una empresa segura, mediante un análisis detallado y reflexivo de varios factores dentro de un entorno empresarial único.

Las empresas necesitan una estrategia de seguridad coherente y un proceso fiable para mantenerlas actualizadas con las últimas tecnologías y las amenazas existentes y venideras.

Como responsable de una empresa, es necesario abordar la seguridad desde una perspectiva integral y estratégica para garantizar la fiabilidad, el cumplimiento de las normativas, la integridad y la disponibilidad.

Este plan debe incluir los costes estimados, además de fijar los objetivos y realizar el blueprint de la solución. Adicionalmente, es un factor crítico desarrollar un plan predeterminado que actúe como hoja de ruta para alcanzar el resultado final esperado y así garantizar el éxito de cualquier implementación.

En las siguientes líneas encontramos algunos de los pasos a considerar con el objetivo de crear el plan correcto para la organización:

• Establecer el alcance global y los objetivos.
• Reunir los requisitos de alto nivel, como a qué sistemas necesita dar soporte, etc.
• Determinar el estado actual de su seguridad y de lo que pretende conseguir.
• Desarrollar el caso de negocio para obtener la aceptación ejecutiva a ese plan y estimar sus costes.
• Desarrollar el blueprint para la construcción de su solución de seguridad.
• Seleccionar el software apropiado para conseguir los objetivos.
• Desarrollar la hoja de ruta para implementar la solución.
• Personas y procesos

Las soluciones de seguridad dependen de la integración de la tecnología, de los procesos y de las personas.

Las soluciones de seguridad dependen de la integración de la tecnología, los procesos y las personas. Ya se encuentre ideando la aproximación a la gestión de las identidades o diseñando la metodología de gestión de actualizaciones de su organización, se debe considerar cada uno de estos aspectos como fundamentales para su estrategia de seguridad.

La tecnología es sólo una parte de la solución. Disponer de un proceso eficaz, a la vez que se alinea la solución con los empleados, ayuda a facilitar la transición para cualquier organización.

Con tantos proveedores y consultores disponibles, es importante encontrar un socio que comparta la visión estratégica de la organización. Después de determinar una estrategia, se debería elegir como socios a aquellos que aporten experiencia y que dispongan de una sólida reputación. El socio adecuado ayudará a diseñar e implementar un sistema que maximice los ya existentes para gestionar el acceso a través de ellos y de las redes de manera segura y eficiente en costes.

No implementar soluciones arbitrariamente y esperar que funcionen sin problemas. Es esencial establecer las guías de arquitectura con el fin de eliminar -o cuanto menos reducir- la complejidad antes de que empiece.

Un error que muchas organizaciones cometen en el área de seguridad de la información es dar por sentado que cuanta más tecnología se ponga en funcionamiento, más seguras podrán mantener sus empresas. En lugar de impulsar la necesidad de una mayor seguridad, las empresas deberían centrarse en luchar por una "seguridad efectiva" -aquélla donde se evalúa su situación actual y luego se diseña y construye un planteamiento de seguridad que se adapte a las necesidades específicas de su negocio y al presupuesto de su organización-.

Esta visión holística del estado de seguridad de la organización proporciona un buen punto de partida para trabajar en la mitigación de los riesgos de seguridad en la empresa. Posteriormente, una vez que la evaluación del riesgo de seguridad se ha completado, la empresa puede ya trabajar en la arquitectura, diseño e implementación de una solución que se adapte a las necesidades de su negocio específico.

La adaptación o modernización de los sistemas de seguridad rara vez se puede llevar a cabo sin tener que rediseñar partes sustanciales del sistema y, en la mayoría de los casos, requiriendo para dicha renovación una importante inversión. La seguridad debe ser una pieza integral del diseño del sistema desde el principio y no una reflexión posterior.

Sin embargo, la modernización puede resolver problemas tácticos tapando los agujeros en un sistema existente, aunque también puede crear nuevos problemas estratégicos.

Para balancear los beneficios frente a los costes, las empresas deberían integrar soluciones dentro de los sistemas existentes. A la vez, han de estar preparadas para hacer las inversiones estratégicas necesarias que permitan crear un sistema seguro que perdure en el tiempo, sin la necesidad de recaer en la modernización.

En general, la seguridad no es algo que se compra sino que es algo que se hace. Es un proceso que se utiliza para mantener y garantizar la calidad de los sistemas TI de las empresas, del mismo modo que sucede con la escalabilidad o la disponibilidad.

Con el proceso correcto en mente y las tecnologías adecuadas para apoyar esas cualidades, las empresas pueden mantener una visión holística de los objetivos generales, el papel de la seguridad dentro de esos objetivos y desarrollar un plan de ejecución coherente.

Autor

Ricard Piñol, Director de Soluciones de Infraestructura y Seguridad para Avanade en España.

Fuente http://www.redseguridad.com