| 3/6/2007 12:00:00 AM

Sin cuello de botella

Acciones proactivas que pueden mejorar la gestión de la seguridad informática.

En un entorno empresarial que motiva el intercambio global, las compañías dependen de datos e información oportuna y confiable en sus procesos, comunicaciones y transacciones de negocio. Para mantener controlado este flujo es necesario gestionar la seguridad de la información y darle atención inmediata y estratégica a este tema empresarial. Esto es específicamente importante para gestionar la protección de información sensible y valiosa contra la pérdida potencial, la inaccesibilidad, la alteración, o el acceso ilícito.

Para llevar a cabo la gestión de la seguridad de la información, se debe fijar una estrategia en la divulgación de la información por medio de una adecuada clasificación de la información (confidencialidad), protección contra la modificación no autorizada (integridad) y su acceso apropiado (disponibilidad).

Esta gestión de la seguridad de la información se debe orientar hacia cautro temas, que basados en las mejores prácticas (Global Best Practices www.globalbestpractices.com) para diferentes campos de acción, son:

Gobernabilidad de la seguridad versus el enfoque técnico

La gobernabilidad de la seguridad se basa en tendencias del mercado y requerimientos de cumplimiento definidos para el negocio. La alta gerencia es responsable por definir las directrices y asegurar que sean implementadas y cumplidas. La gobernabilidad está soportada por una gestión del riesgo continua en la cual se identifican las fuentes generadoras de riesgos y las debilidades actuales de la organización; para ser gestionadas a través de la implementación de controles basados en un análisis de costo / beneficio.

Las organizaciones necesitan tener precauciones para proteger su propiedad intelectual, la información de sus clientes y la información interna de la compañía; como la evidencia de posibles incidentes de seguridad que involucren empleados inconformes. Para salvaguardar la información valiosa, las mejores compañías dimensionan la seguridad de la información no simplemente como un concepto técnico sino que involucre al negocio. Contrario a dejar la seguridad en manos de personal técnico, estas compañías animan a sus ejecutivos para que participen en decisiones de seguridad alineadas al esquema diseñado por la compañía y orientadas por el oficial de seguridad; teniendo siempre presentes los requisitos estratégicos del negocio con inversiones en seguridad adecuadas y coherentes.

Por ejemplo, una importante organización del sector de Telecomunicaciones desarrolló con éxito, un programa de conocimiento y percepción de la seguridad de la información entre sus unidades de negocio, haciéndolas partícipes como comité interventor. Este comité actuaba como líder en la gestión de seguridad, revisando y vigilando activamente debilidades del control en la seguridad así como actualizaciones en las tecnologías de información. Como resultado, se ha generado un alto grado de conscientización basado en que las métricas de su modelo de seguridad son mejoradas constantemente por la motivación de este comité proactivo.

Gestión del cumplimiento de las políticas de seguridad

Una política cuidadosamente desarrollada, bajo un análisis de riesgo de la seguridad, forma la espina dorsal de un programa eficaz de la seguridad de la información. Para asegurarse que la política sea efectiva, las compañías deben tener en cuenta tres aspectos:
- Que las políticas, estándares y procedimientos sean desarrollados por un equipo multidisciplinario que asegure la cubrir integralmente al negocio y no que cubran solo una unidad.
- Que sea medida la efectividad de la política a través de métricas definidas basadas en los objetivos de negocio.
- Que la política sea completamente difundida, entendida e implementada por todos los responsables. Direccionando siempre estas iniciativas a través del departamento de recursos humanos.

Revisión constante de la plataforma tecnológica contra amenazas y vulnerabilidades

Mientras que las revisiones de seguridad (Penetration Testing, Auditorías Internas, Diagnósticos de Seguridad) no son prácticas nuevas en gestión de seguridad; las amenazas constantes como virus, las presiones de las compañías de seguros por el aumento en sus riesgos tecnológicos y las normas que regulan el mercado informático, han exigido a las compañías hacer de estas prácticas comunes una prioridad en la operación. Para ello, prueban y reexaminan sus tecnologías de seguridad y las políticas y procedimientos para asegurarse que pueden defenderse contra ataques externos o internos. Las pruebas pueden implicar simplemente recorrer los pasillos de una compañía para localizar las oficinas abiertas en donde los “desktops” o pcs de escritorio se encuentran con sesiones activas, o hacer uso de prácticas más sofisticadas que exijan la vulneración de la infraestructura externa.

Respuesta rápida a incidentes

Un incidente es cualquier evento adverso que pueda afectar algún aspecto de seguridad de la organización. La organización debe garantizar que sea identificado el incidente oportunamente, sea controlado y por último investigado a profundidad para garantizar que no vuelva a suceder.

Las metodologías de gestión de incidentes están orientadas a garantizar que se centralice la identificación de incidentes, para que cada uno de ellos sea gestionado, analizado y controlado. Las respuestas a dichos incidentes están orientadas a tres posibles marcos de trabajo que soportan la seguridad de la información, la continuidad del negocio, el soporte operativo y la investigación o análisis forense.

Los incidentes se incrementan durante épocas económicas difíciles, cuando los despidos corporativos se presentan de manera importante y los empleados inconformes focalizan su energía abusando o atacando los sistemas de información. Cuando las compañías despiden personal se debe dar atención especial al periodo comprendido entre la entrega del cargo y la protección de la información sensible, negando inmediatamente los privilegios que este poseía en la red corporativa.

Adicionalmente, las compañías deben salvaguardar la información en cintas para garantizar no tanto la integridad de la información sino su posterior recuperación en caso de daño o para realizar, posteriormente, un análisis forense que puedan evidenciar como sucedió el incidente.

*Jorge Alberto Gómez es Gerente de Consultoría de Efectividad en Tecnologías de Información en PricewaterhouseCoopers jorge.alberto.gomez@co.pwc.com

¿Tiene algo que decir? Comente

Para comentar este artículo usted debe ser un usuario registrado.

EDICIÓN 531

PORTADA

La Bolsa de Valores necesita acciones urgentes

Con menos emisores, bajas rentabilidades y desbandada de personas naturales, la Bolsa busca recuperar su atractivo. Finca raíz, su nueva apuesta. ¿Será suficiente?