Las 7 mejores prácticas de seguridad
En este informe se proponen las que podrían considerarse como siete de las mejores prácticas para conseguir mayores niveles de securización en las redes empresariales. La lista podría ser más larga, pero muy probablemente las que a continuación se enumeran sean las más eficaces. Si se implementan, con toda seguridad se percibirá una rápida mejora en el tiempo de operación, rendimiento y estado de conformidad de las TI de cualquier empresa.
Todas las organizaciones se ven forzadas a soportar un alubión diario de spam, cada vez en mayor medida infectado además de ataques de malware de “día cero”. Y pocas se libran de los riesgos asociados al uso indebido de la información corporativa por parte de determinados empleados. Cada vez más laptops entran y salen del ámbito protegido por los cortafuegos de inspección profunda y los sistemas de prevención de intrusiones de las empresas. Algunas tienen incluso que preocuparse de cómo comprobar y demostrar que siguen los pasos adecuados y con la debida diligencia para estar en conformidad con la creciente lista de normativas que cada vez ejercen una mayor presión, tanto en el ámbito económico general como en el sectorial.
No es de extrañar que los responsables de TI busquen la manera de aliviar la presión extrema que todas estas circunstancias ejercen y hacer de 2007 un año más llevadero, con menos tiempos de inactividad y menos quebraderos de cabeza. Existen nuevos conceptos y herramientas de seguridad, como la gestión unificada de amenazas (UTM) o el control de admisión en red (NAC) que, sin duda, ayudarán a conseguirlo. Pero, sobre todo, y antes de optar por herramientas concretas, es conveniente establecer una serie de mejores prácticas que garanticen la protección global del entorno y permitan un uso más estratégico e inteligente de las herramientas disponibles. Sin duda, la encriptación es más una práctica recomendable que un producto o herramienta. Es posible encontrar multitud de herramientas disponibles comerciales o gratuitas, pero deben ser evaluadas a fin de encontrar la más adecuada para cada modelo de mejores prácticas. Sólo a la luz de este modelo podrán elegirse los instrumentos tecnológicos más adecuados para integrarse en un entorno de protección articulado y consistente.
1- Desplegar políticas de seguridad corporativas
Las empresas que todavía no cuentan con políticas de seguridad corporativas no deberían postergar por más tiempo su implementación. Existen excelentes marcos de trabajo ya desarrollados disponibles que, sin coste o por un coste mínimo, ayudan en la tarea. Cabría destacar el potente modelo COBIT (www.isaca.org)–TI Control Objectives for Information and Related Technology–, el modelo PCI para mejorar la seguridad de datos sobre cuentas de pago orientado al sector minorista desarrollado por PCI Security Standards Council (www.pcisecuritystandards.org) y un modelo internacional extremadamente completo y global denominado ISO 27001/17799 (http://www.iso.org/iso/en/ISOOnline.frontpage). Cualquiera de ellos constituye un estupendo punto de partida.
Una vez se empiece a trabajar con un modelo, convendrá crear una versión simplificada del texto, redactada con terminología sencilla y huyendo de tecnicismos, a fin de que pueda ser entendida por todos los implicados en su puesta en funcionamiento, independientemente de su nivel de formación. Esto resulta esencial dado que, en realidad, es preciso lograr la implicación de todos los individuos de la organización. No debe olvidarse que la mayoría de los empleados de cualquier empresa no son expertos en conformidad o en seguridad de la información. Por tanto, la versión en lenguaje sencillo habrá de cubrir todas y cada una de las secciones del modelo de seguridad corporativo para que cualquier empleado esté en condiciones de conocerlo, comprenderlo y contribuir a su aplicación a lo largo y ancho de toda la organización. Es conveniente, no obstante, conservar el modelo original para el departamento de TI, el CIO o cualquier otra persona que ayude directamente en la implementación de la seguridad de la red y el soporte de la conformidad regulativa.
Aunque la elaboración de estos modelos simplificados represente una carga adicional nada despreciable para el responsable de TI, merecerá la pena. Una buena securización de la red debe empezar siempre con una política de seguridad viva de la que todos los implicados puedan hacerse partícipes. Y aunque sea expresada en un documento de tan sólo una página, habrá de aportar un esbozo de prácticas de seguridad que cualquier ejecutivo de la organización esté de acuerdo en respetar. Las reglas básicas deberían incluir directrices para cualquier aspecto relacionado con la seguridad, desde el acceso y contraseñas de usuarios a la planificación de la continuidad de negocio (BCP-Business Continuity Planning) y de recuperación ante desastres (DRP-Disaster Recovery Planning). Es aconsejable, por ejemplo, contar con políticas que regulen el funcionamiento de la realización del backup de los archivos confidenciales y financieros de los clientes, así como con sistemas de mirroring proactivamente preparados para casos de desastres. En algunos entornos, los BCP y DRP deberían incluso determinar un sitio “frío” o “cálido” donde pudiera rápidamente trasladarse la plantilla para continuar las operaciones tras un desastre natural o un ataque terrorista. La implementación de una política de seguridad corporativa es el primer paso imprescindible para conseguir una seguridad de red proactiva.
Para aumentar la eficiencia de las políticas conviene que el responsable TI determine conjuntamente con los ejecutivos las consecuencias que para alguien tendría infringir una o varias de ellas, diferenciando, por ejemplo, entre los casos en que la violación ha sido intencional o no, si la acción es criminal, etc. Conviene elaborar hipótesis concretas, explicando, por ejemplo, qué ocurriría si un empleado violara una política de sólo lectura (eyes-only), copiara todos los archivos de empleados sacándolos de la base de datos del departamento de recursos humanos y expusiera la información en algún sitio público. Si esto ocurriera, ¿qué medidas se tomarían? Sin duda, sería positivo permitir que toda la plantilla conociera las políticas y los costes asociados a su violación. Visitando el sitio http://www.privacyrights.org/ cualquier responsable de seguridad podrá comprobar la gran cantidad de archivos que se pierden o roban en las organizaciones. ¿Habían desplegado estas empresas las mejores políticas de seguridad corporativas? Probablemente, no. ¿Se debió alguna de estas fugas de datos a la actividad de empleados con malas intenciones? Probablemente, sí.
En resumen, no basta con establecer políticas de seguridad corporativas; también es necesario reforzar la disposición de los empleados a cumplirlas, mediante la difusión de advertencias apoyadas por el nivel ejecutivo sobre las consecuencias negativas que para el trabajador tendría violarlas. Estas consecuencias pueden ir, según la gravedad de la acción, desde amonestaciones por escrito o un día sin paga al despido justificado, e incluso juicios civiles, denuncia ante las autoridades y posibles procesamientos criminales. Compartir la información
Todas las organizaciones se ven forzadas a soportar un alubión diario de spam, cada vez en mayor medida infectado además de ataques de malware de “día cero”. Y pocas se libran de los riesgos asociados al uso indebido de la información corporativa por parte de determinados empleados. Cada vez más laptops entran y salen del ámbito protegido por los cortafuegos de inspección profunda y los sistemas de prevención de intrusiones de las empresas. Algunas tienen incluso que preocuparse de cómo comprobar y demostrar que siguen los pasos adecuados y con la debida diligencia para estar en conformidad con la creciente lista de normativas que cada vez ejercen una mayor presión, tanto en el ámbito económico general como en el sectorial.
No es de extrañar que los responsables de TI busquen la manera de aliviar la presión extrema que todas estas circunstancias ejercen y hacer de 2007 un año más llevadero, con menos tiempos de inactividad y menos quebraderos de cabeza. Existen nuevos conceptos y herramientas de seguridad, como la gestión unificada de amenazas (UTM) o el control de admisión en red (NAC) que, sin duda, ayudarán a conseguirlo. Pero, sobre todo, y antes de optar por herramientas concretas, es conveniente establecer una serie de mejores prácticas que garanticen la protección global del entorno y permitan un uso más estratégico e inteligente de las herramientas disponibles. Sin duda, la encriptación es más una práctica recomendable que un producto o herramienta. Es posible encontrar multitud de herramientas disponibles comerciales o gratuitas, pero deben ser evaluadas a fin de encontrar la más adecuada para cada modelo de mejores prácticas. Sólo a la luz de este modelo podrán elegirse los instrumentos tecnológicos más adecuados para integrarse en un entorno de protección articulado y consistente.
1- Desplegar políticas de seguridad corporativas
Las empresas que todavía no cuentan con políticas de seguridad corporativas no deberían postergar por más tiempo su implementación. Existen excelentes marcos de trabajo ya desarrollados disponibles que, sin coste o por un coste mínimo, ayudan en la tarea. Cabría destacar el potente modelo COBIT (www.isaca.org)–TI Control Objectives for Information and Related Technology–, el modelo PCI para mejorar la seguridad de datos sobre cuentas de pago orientado al sector minorista desarrollado por PCI Security Standards Council (www.pcisecuritystandards.org) y un modelo internacional extremadamente completo y global denominado ISO 27001/17799 (http://www.iso.org/iso/en/ISOOnline.frontpage). Cualquiera de ellos constituye un estupendo punto de partida.
Una vez se empiece a trabajar con un modelo, convendrá crear una versión simplificada del texto, redactada con terminología sencilla y huyendo de tecnicismos, a fin de que pueda ser entendida por todos los implicados en su puesta en funcionamiento, independientemente de su nivel de formación. Esto resulta esencial dado que, en realidad, es preciso lograr la implicación de todos los individuos de la organización. No debe olvidarse que la mayoría de los empleados de cualquier empresa no son expertos en conformidad o en seguridad de la información. Por tanto, la versión en lenguaje sencillo habrá de cubrir todas y cada una de las secciones del modelo de seguridad corporativo para que cualquier empleado esté en condiciones de conocerlo, comprenderlo y contribuir a su aplicación a lo largo y ancho de toda la organización. Es conveniente, no obstante, conservar el modelo original para el departamento de TI, el CIO o cualquier otra persona que ayude directamente en la implementación de la seguridad de la red y el soporte de la conformidad regulativa.
Aunque la elaboración de estos modelos simplificados represente una carga adicional nada despreciable para el responsable de TI, merecerá la pena. Una buena securización de la red debe empezar siempre con una política de seguridad viva de la que todos los implicados puedan hacerse partícipes. Y aunque sea expresada en un documento de tan sólo una página, habrá de aportar un esbozo de prácticas de seguridad que cualquier ejecutivo de la organización esté de acuerdo en respetar. Las reglas básicas deberían incluir directrices para cualquier aspecto relacionado con la seguridad, desde el acceso y contraseñas de usuarios a la planificación de la continuidad de negocio (BCP-Business Continuity Planning) y de recuperación ante desastres (DRP-Disaster Recovery Planning). Es aconsejable, por ejemplo, contar con políticas que regulen el funcionamiento de la realización del backup de los archivos confidenciales y financieros de los clientes, así como con sistemas de mirroring proactivamente preparados para casos de desastres. En algunos entornos, los BCP y DRP deberían incluso determinar un sitio “frío” o “cálido” donde pudiera rápidamente trasladarse la plantilla para continuar las operaciones tras un desastre natural o un ataque terrorista. La implementación de una política de seguridad corporativa es el primer paso imprescindible para conseguir una seguridad de red proactiva.
Para aumentar la eficiencia de las políticas conviene que el responsable TI determine conjuntamente con los ejecutivos las consecuencias que para alguien tendría infringir una o varias de ellas, diferenciando, por ejemplo, entre los casos en que la violación ha sido intencional o no, si la acción es criminal, etc. Conviene elaborar hipótesis concretas, explicando, por ejemplo, qué ocurriría si un empleado violara una política de sólo lectura (eyes-only), copiara todos los archivos de empleados sacándolos de la base de datos del departamento de recursos humanos y expusiera la información en algún sitio público. Si esto ocurriera, ¿qué medidas se tomarían? Sin duda, sería positivo permitir que toda la plantilla conociera las políticas y los costes asociados a su violación. Visitando el sitio http://www.privacyrights.org/ cualquier responsable de seguridad podrá comprobar la gran cantidad de archivos que se pierden o roban en las organizaciones. ¿Habían desplegado estas empresas las mejores políticas de seguridad corporativas? Probablemente, no. ¿Se debió alguna de estas fugas de datos a la actividad de empleados con malas intenciones? Probablemente, sí.
En resumen, no basta con establecer políticas de seguridad corporativas; también es necesario reforzar la disposición de los empleados a cumplirlas, mediante la difusión de advertencias apoyadas por el nivel ejecutivo sobre las consecuencias negativas que para el trabajador tendría violarlas. Estas consecuencias pueden ir, según la gravedad de la acción, desde amonestaciones por escrito o un día sin paga al despido justificado, e incluso juicios civiles, denuncia ante las autoridades y posibles procesamientos criminales. Compartir la información
