Ya Implementé Herramientas de Seguridad en la Empresa ¿ESTOY SEGURO AHORA?
Desde hace ya un tiempo atrás, términos como seguridad informática, seguridad de la información, riesgo tecnológico, auditoria de sistemas y ciberseguridad van tomando cierto protagonismo en empresas de distintos rubros, y aun más con los últimos acontecimientos relacionados al robo de información y fraude electrónico protagonizados por grupos organizados que desarrollan planes de ataque sofisticados, dirigidos y especializados.
Inmerso en las esferas directivas y gerenciales de las empresa, se puede evidenciar que aquellas empresas que han logrado tomar conciencia sobre las amenazas a las que están expuestos sus activos tecnológicos y aun más importante sus activos de información, han invertido en la contratación de personal especializado con la creación de puestos que en algunos casos son áreas o divisiones completas de acuerdo al tamaño de la empresa que se encargan de gestionar tareas de seguridad de la información, seguridad informática, riesgo tecnológico, auditoria de sistemas, continuidad del negocio y recuperación ante desastres y otras relacionadas, adicionalmente han invertido en soluciones informáticas para proporcionar un nivel de seguridad a los procesos de negocio soportados por las tecnologías de información.
Por lo que es necesario plantearse algunas preguntas que considero sin animo de entrar en la paranoia, deberían realizarse en los comités de seguridad de manera constante y deberían ser monitoreadas y gestionadas para una mejora continua.
Las preguntas son:
1. ¿Cuál es el nivel de madurez en cuanto a la gestión de la seguridad de la información?
2. ¿Cuál es el nivel de madurez en cuanto a la gestión de la seguridad informática?
3. ¿Que planes de acción se están llevando a cabo para mejorar los niveles de madurez?
Por lo que es necesario plantearse algunas preguntas que considero sin animo de entrar en la paranoia, deberían realizarse en los comités de seguridad de manera constante y deberían ser monitoreadas y gestionadas para una mejora continua.
Las preguntas son:
1. ¿Cuál es el nivel de madurez en cuanto a la gestión de la seguridad de la información?
2. ¿Cuál es el nivel de madurez en cuanto a la gestión de la seguridad informática?
3. ¿Que planes de acción se están llevando a cabo para mejorar los niveles de madurez?
Abordando elementos técnicos y pensando en esta ocasión en responder la segunda pregunta, pensamos
que si implementamos herramientas de seguridad como: Intrusion Detection
Systems (IDS), Intrusion Prevention Systems (IPS), Data Loss Prevention (DLP), Firewalls
de Red, Firewalls de Aplicación y otras “soluciones de seguridad” ya sean en
sus versiones de Hardware o Software, contamos con lo necesario para
contrarrestar las amenazas de seguridad y que no habrá forma de que vulneren la
infraestructura tecnológica de la empresa.
Es cierto que al contar con un ¨pool¨ de herramientas de seguridad, lo que estamos creando son capas de
seguridad a nivel de redes, aplicaciones y conexiones remotas, lo cual complica
la vida del atacante al momento de querer vulnerar algunos de los activos
tecnológicos. Sin embargo es cierto también que una vez
implementados dichos controles, por lo general se queda en nada más que eso “implementación”,
debido a que el área de sistemas, seguridad o de tecnología encargada de la
administración de los mismos no cuentan con políticas y procedimientos
para la gestión efectiva de las herramientas mencionadas, que incluya: análisis
de la necesidad de inversión en herramientas de seguridad, análisis de
factibilidad de implementación, análisis para el despliegue adecuado de la
herramienta, gestión de proveedores de soporte tecnológico, revisión periódica
de reglas y políticas de configuración, monitoreo de la correcta funcionalidad
de las herramientas, administración de logs, actualización de versiones y
parches de seguridad y la correcta salida de los dispositivos de seguridad de
la infraestructura tecnológica de la empresa.
La siguiente gráfica, demuestra los diferentes puntos que implican asegurar el negocio y específicamente hablando de seguridad informática, actualmente existen en el mercado herramientas que se encargan de asegurar y gestionar cada uno de estos puntos.
La siguiente gráfica, demuestra los diferentes puntos que implican asegurar el negocio y específicamente hablando de seguridad informática, actualmente existen en el mercado herramientas que se encargan de asegurar y gestionar cada uno de estos puntos.
Retomando el tema de las políticas y procedimientos, la ausencia de las mismas hace que la inversión realizada para la adquisición de
estas soluciones no sea efectiva ya que podrían ocurrir los siguientes escenarios:
Ahora bien, en ambos escenarios no es difícil identificar que las soluciones de seguridad implementadas no son un remedio sino que se transformaron mas bien en un problema, debido a que agentes de amenazas podrían aprovechar las debilidades que se presentan en ambos casos, las cuales son: falta de actualización y debilidades en la configuración, sucesivamente. Por lo tanto esto significa que por la ausencia de un marco normativo para la adecuada gestión de herramientas de seguridad, estamos abriendo una brecha de seguridad en la empresa.
Escenario 1
Actualmente cuento con una solución de antivirus corporativo desplegada en la empresa la cual no se encuentra instalada en todos los equipos y servidores y que ademas no esta actualizada.
Escenario 2
También cuento con un Firewall el cual una vez implementado no se le realizaron configuraciones en base un análisis de qué trafico de red necesito permitir y denegar de acuerdo a las necesidades de comunicación del negocio y en base a las mejores practicas de seguridad.
Ahora bien, en ambos escenarios no es difícil identificar que las soluciones de seguridad implementadas no son un remedio sino que se transformaron mas bien en un problema, debido a que agentes de amenazas podrían aprovechar las debilidades que se presentan en ambos casos, las cuales son: falta de actualización y debilidades en la configuración, sucesivamente. Por lo tanto esto significa que por la ausencia de un marco normativo para la adecuada gestión de herramientas de seguridad, estamos abriendo una brecha de seguridad en la empresa.
Estándares y normas
internacionales como PCI DSS (Payment Card Industry Data Security Standard), la ISO 27001 (Sistema de Gestión de la Seguridad de la Información) y COBIT, recomiendan desarrollar procedimientos para la adecuada gestión de los recursos
tecnológicos. Adicionalmente es buena práctica adoptar criterios de mejora
continua como se puede apreciar en el siguiente ciclo:
Es decir que hoy en día las
herramientas de seguridad ya forman parte fundamental de los activos tecnológicos y se traduce en que son una inversión (si existe una gestión adecuada) y no en un gasto o lujo como
se lo entendía tiempo atrás.
Finalmente nunca estará por demás la recomendación de capacitación y concientización al personal. En este caso enfocado en los encargados de la administración de las herramientas de seguridad informática, mediante cursos, demostraciones, seminarios, certificaciones en seguridad dedicadas tanto a productos específicos como aquellas que no lo son, y otros recursos adicionales.
Con el compromiso de la alta dirección para apoyar la gestión de la seguridad y contar con personal capacitado
y consciente sobre las amenazas existentes, se podrá tener una sensación de
seguridad verdadera en la empresa que con el tiempo ira madurando y enfocándose en la adecuada gestión
de los riesgos tecnológicos.
Autor: Alvaro Machaca Tola
CCNA | CEH | ISO 27001 Internal Auditor
No hay comentarios.