Los pasos esenciales para una gestión de seguridad efectiva
La gestión de seguridad se ocupa de cómo se mantiene la integridad del sistema frente a amenazas y riesgos creados por el ser humano, ya sean intencionales o no. Entre las amenazas intencionales creadas por el ser humano se encuentran el espionaje, los ataques informáticos y los virus informáticos. Las amenazas no intencionales incluyen los accidentes o la ignorancia del usuario sobre los efectos de sus acciones. La gestión de seguridad abarca desde la identificación de riesgos hasta la determinación de medidas y controles de seguridad, la detección de violaciones y el análisis de violaciones de seguridad. A continuación, describiré los pasos involucrados en la gestión de seguridad y discutiré los factores críticos para el éxito de la gestión de seguridad.
Paso 1: Determinar y evaluar los activos de TI
Físico
- Hardware y software de computadoras
- Instalaciones de edificios
- Recursos utilizados para almacenar activos sensibles o procesar información sensible
Información
La categoría de información incluye datos sensibles relacionados con las operaciones, planes y estrategias de la empresa. Ejemplos de esto son los planes de marketing y ventas, datos financieros detallados, secretos comerciales, información del personal, datos de infraestructura de TI, perfiles y contraseñas de usuarios, correspondencia confidencial de la oficina y actas de reuniones. Recientemente, también ha aumentado la preocupación por proteger los logotipos de la empresa y los materiales publicados en Internet.
Personas
La categoría de personas incluye individuos vitales que desempeñan roles clave y cuya incapacidad o ausencia afectará al negocio.
Configuración y monitoreo de IPCop: una guía completa para administrar tu firewall LinuxDespués de identificar los activos de la empresa, el siguiente paso es determinar su nivel de seguridad. Dependiendo de los requisitos de la empresa, los activos pueden clasificarse en dos o más niveles de seguridad. Recomiendo dos niveles para organizaciones con amenazas de seguridad mínimas: público y confidencial. Si las necesidades de seguridad son mayores, se puede implementar un esquema de clasificación de seguridad de tres niveles: público, confidencial y restringido.
Tenga cuidado de tener demasiados niveles de seguridad; esto tiende a diluir su importancia a los ojos del usuario. Un gran proveedor multinacional de TI solía tener cinco niveles de seguridad: público, solo para uso interno, confidencial, confidencial restringido y confidencial registrado. Hoy en día, se ha reducido a tres: público, solo para uso interno y confidencial. Los empleados estaban confundidos acerca de las diferencias entre los niveles asegurados y los procedimientos asociados con cada uno. Tener demasiados niveles de seguridad resultó ser costoso en términos de educación de los empleados, instalaciones de seguridad y prácticas de oficina; los costos a menudo eran mayores que las posibles pérdidas por violación de seguridad.
Paso 2: Analizar riesgos
Cada sistema de gestión de seguridad efectivo refleja una evaluación cuidadosa de cuánta seguridad se necesita. Poca seguridad significa que el sistema puede ser fácilmente comprometido de manera intencional o no intencional. Demasiada seguridad puede hacer que el sistema sea difícil de usar o degradar su rendimiento de manera inaceptable. La seguridad es inversamente proporcional a la utilidad; si desea que el sistema esté 100 por ciento seguro, no permita que nadie lo use. Siempre habrá riesgos en los sistemas, pero a menudo estos riesgos se aceptan si hacen que el sistema sea más poderoso o más fácil de usar.
La aceptación del riesgo es fundamental para una buena gestión de seguridad. Nunca tendrá suficientes recursos para asegurar los activos al 100 por ciento; de hecho, esto es prácticamente imposible incluso con recursos ilimitados. Por lo tanto, identifique todos los riesgos del sistema y luego elija qué riesgos aceptar y cuáles abordar mediante medidas de seguridad. Aquí hay algunas razones por las cuales algunos riesgos son aceptables:
- La amenaza es mínima.
- Es poco probable que se produzca una violación de seguridad.
- El valor del activo es bajo.
- El costo de asegurar el activo es mayor que el valor del activo.
- La amenaza desaparecerá pronto.
- Las violaciones de seguridad se pueden detectar fácilmente y corregir de inmediato.
Después de identificar los riesgos, el siguiente paso es determinar el impacto en el negocio si el activo se pierde o se ve comprometido. Al hacer esto, obtiene una buena idea de cuántos recursos se deben asignar a la protección del activo. Un puesto de trabajo de un usuario casi con seguridad merece menos recursos que los servidores de la empresa.
Los riesgos que elija aceptar deben ser documentados y firmados por todas las partes, no solo para proteger a la organización de TI, sino también para hacer que todos sean conscientes de que existen activos no seguros de la empresa.
Guía para principiantes sobre la infraestructura de clave pública (PKI)Paso 3: Definir prácticas de seguridad
Defina de manera detallada las siguientes áreas clave de la gestión de seguridad:
- Prácticas de clasificación de activos: Pautas para especificar los niveles de seguridad como se mencionó anteriormente.
- Evaluación y aceptación de riesgos: Como se mencionó anteriormente.
- Propiedad de los activos: Asignación de roles para el manejo de activos sensibles.
- Responsabilidades en el manejo de activos: Las tareas y procedimientos que deben seguir las entidades que manejan los activos, como se identificó anteriormente.
- Políticas con respecto al manejo incorrecto de activos de seguridad.
- Cómo se informan y responden las violaciones de seguridad.
- Prácticas de concienciación sobre seguridad: Programas de educación y etiquetado de activos.
- Auditorías de seguridad: Verificaciones no anunciadas de las medidas de seguridad implementadas para determinar si están funcionando.
Paso 4: Implementar prácticas de seguridad
En esta fase, implemente las medidas de seguridad definidas en el paso anterior. Puede hacer esto en etapas para que sea más fácil para todos adaptarse al nuevo entorno de trabajo. Espere muchos problemas al principio, especialmente en lo que respecta a la resistencia del usuario a sus tareas de seguridad, como el uso de contraseñas. La implementación escalonada se puede realizar de la siguiente manera:
- Por departamento, comenzando con los activos más sensibles. La elección natural sería el departamento de TI.
- Por función o actividad empresarial, comenzando por aquellas que dependen de (o crean) los activos más sensibles. Podría comenzar con todas las actividades de planificación empresarial, seguidas de marketing, recursos humanos, etc.
- Por ubicación, especialmente si los activos prioritarios sensibles son principalmente físicos. Este enfoque es el más fácil de implementar. Sin embargo, su efectividad es dudosa para los activos de información que residen en sistemas informáticos en red. Podría comenzar con el centro de datos de TI y luego ampliar gradualmente el área segura hasta abarcar todas las instalaciones comerciales.
- Por personas, comenzando por los miembros clave de la organización.
Paso 5: Monitorear las violaciones y tomar acciones correspondientes
Una disciplina efectiva de gestión de seguridad depende de un monitoreo de cumplimiento adecuado. Las violaciones de las prácticas de seguridad, ya sean intencionales o no intencionales, se vuelven más frecuentes y graves si no se detectan y se actúa sobre ellas. Un pirata informático que se sale con la primera penetración del sistema volverá repetidamente si sabe que nadie puede detectar sus actividades. Los usuarios que se salen con la suya dejando documentos confidenciales en sus escritorios adquirirán malos hábitos si no se corrigen rápidamente.
Aquí realizará dos actividades importantes: detectar violaciones de seguridad y responder a ellas. Con respecto a los activos sensibles, es importante saber:
- Quién tiene derecho a manejar los activos (nombres de usuario).
- Cómo autenticar a esos usuarios de activos (contraseña, identificaciones, etc.).
- Quién ha intentado acceder a ellos.
- Cómo restringir el acceso a actividades permitidas.
- Quién ha intentado realizar acciones más allá de las permitidas.
Documente la respuesta a las violaciones de seguridad y haga un seguimiento inmediato después de detectar una violación. La organización de TI debería tener un equipo de respuesta a emergencias informáticas para lidiar con las violaciones de seguridad. Los miembros de este equipo deberían tener acceso a la alta dirección para que las situaciones graves puedan escalarse fácilmente.
Las respuestas se pueden integrar en sus herramientas o instalaciones de seguridad para garantizar que la respuesta a una violación sea inmediata. Por ejemplo, una utilidad de verificación de contraseñas puede diseñarse para bloquear un nombre de usuario inmediatamente después de tres intentos de contraseña inválidos. Se pueden instalar alarmas alrededor de las instalaciones del centro de datos para que, si alguna ventana o puerta se fuerza a abrir, los guardias de seguridad o la policía sean notificados de inmediato.
Cuál es la relación entre suposiciones y riesgos en un proyectoUna parte crítica de esta actividad es la generación de informes para la dirección que analicen las violaciones de seguridad significativas y las tendencias de incidentes menores. El objetivo es detectar posibles violaciones de seguridad importantes antes de que causen daños graves.
Paso 6: Reevaluar los activos y riesgos de TI
La gestión de seguridad es una disciplina que nunca descansa. Los cambios importantes que requerirían una reevaluación de las prácticas de gestión de seguridad incluyen:
- Las violaciones de seguridad son frecuentes.
- El cambio en la estructura u composición organizativa.
- Los cambios en el entorno empresarial.
- Los cambios tecnológicos.
- La disminución en la asignación de presupuesto.
A medida que la tecnología de la información continúa creciendo en alcance e importancia, el valor de gestionar la seguridad de los sistemas informáticos críticos para la misión que ejecutan los procesos y funciones más sensibles de una organización no se puede exagerar. Con la seguridad como una de sus prioridades más altas, los ejecutivos están buscando técnicas efectivas para lograr la máxima seguridad al tiempo que simplifican la gestión de la seguridad. Con un proceso de gestión de seguridad bien definido, su organización de TI obtendrá numerosos beneficios: reducir la cantidad y el efecto de los incidentes de seguridad, reducir el tiempo de resolución de problemas y mejorar la productividad del personal.
En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Los pasos esenciales para una gestión de seguridad efectiva , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados