Puede parecer obvio el deseo de cualquier empresa para desarrollar su marco de gestión de riesgos, sin embargo, como dice Galvao Bueno, cronista deportivo y de la Fórmula 1, lo planeado es una cosa y lo que pasa es otra. Completar este proceso con éxito requiere una gran cantidad de tareas detalladas y complejas. Si bien la necesidad de confidencialidad, integridad y disponibilidad está determinada por las áreas de negocio, también hay que considerar a las personas, procesos y tecnología para lograrlo.

.

¡Sin la gente no lo va a lograr!

Para las organizaciones y sus CISO (chief information security officers), los empleados son los activos más importantes y tienen una gran responsabilidad en lo que respecta a la gestión de riesgos de TI. Lo ideal sería que trabajaran en conjunto para desarrollar una cultura de seguridad de la información, contemplando una estructura con tres pilares:

  • Gestión de identidad y gestión de acceso: hay que definir los roles de los diferentes usuarios en el lugar de trabajo, desde auxiliares administrativos hasta el director general, y especificar los privilegios de acceso físico y lógico para todos los empleados. Una vez que se establecen estas normas, se requiere garantizar que todas las personas tienen acceso adecuado, de acuerdo con sus funciones.
  • Organización de la seguridad de la información: la idea es hacer a todos responsables de la seguridad de la información. Los CISO exitosos entienden que la empresa debe tener en cuenta mucho más que simplemente atacar los problemas de seguridad informática. También se debe administrar los riesgos inherentes a la protección de la información corporativa en todas sus formas.
  • Formación y sensibilización: desarrollar la imagen y el plan de mercadotecnia para la seguridad de la información. Los empleados que no trabajan directamente con la seguridad de datos no suelen tener una idea clara de lo que es la gestión de riesgos. Es una función del CISO mantenerlos informados e interesados en el tema de la seguridad de la información.

.

El control sobre la tecnología crea eficiencia y ahorra tiempo

Los seres humanos son mucho más inteligentes que las computadoras, pero los ordenadores son mucho mejores para realizar tareas repetitivas y que consumen mucho tiempo. Por lo tanto, las tareas de supervisión, garantía de desempeño, respuestas, métricas e informes sobre los controles de seguridad de la información son los principales candidatos para la automatización, pero sólo después de que todos los empleados han sido capacitados y se han especificado y detallado los procesos. Si la gente y los elementos del proceso son descuidados, todo el trabajo se pierde inevitablemente.

Ahora bien, podemos considerar siete zonas de riesgo en el área de la tecnología:

  • Red: use la tecnología para hacer inteligente su red. Seguridad de la red significa mantener la información a salvo de los que están fuera de la empresa, protegida del acceso no autorizado a los de dentro de la empresa y mientras está en tránsito.
  • Bases de datos: hay que cifrar los datos, preferiblemente con una herramienta de gestión centralizada. Mantenga el control de bases de datos con la supervisión activa, gestión de vulnerabilidades y cuidando la seguridad de los datos en tránsito.
  • Aplicaciones: desarrolle estrategias para un desarrollo seguro y para proteger las aplicaciones corporativas. Utilice autenticación de los dispositivos de almacenamiento y cifre los datos de estos dispositivos.
  • Dispositivos: utilice protección para estaciones de trabajo, portátiles y dispositivos móviles como PDA y teléfonos inteligentes. Normalmente, estos dispositivos son, por desconocimiento o negligencia, los primeros en ser infectados para introducir piezas de código malicioso en el entorno corporativo. Existen tecnologías de antivirus, antispam, cifrado de disco, gestión de configuración, firewall, IPS y autenticación para proteger a estos eslabones más débiles en el trabajo actual.
  • Infraestructura: hay que reducir la superficie de ataque. Muchas de las vulnerabilidades documentadas están relacionadas con las aplicaciones basadas en la Web, por lo que deben emplearse herramientas para analizar código e instalar firewalls específicos para servidores Web.
  • Contenido: se debe pensar en la protección del intercambio de información comercial. El CISO debe garantizar que toda la información sensible está cifrada y que se vigila y filtra todo el tráfico entrante y saliente (Web, correo electrónico, mensajes instantáneos, etc.) de acuerdo a las políticas corporativas para seguridad de la información.
  • Cifrado de datos: solo cifrar no ofrece una protección adecuada. Es necesario desarrollar y poner en práctica una estrategia corporativa con criterios estrictos para autorizar el acceso, de tal manera que se mantengan los datos protegidos contra el acceso no autorizado.

.

Procesos es el pegamento que une a las personas con la tecnología

Incluso la mejor infraestructura para la gestión del riesgo se vuelve inútil si no hay procesos detrás de las políticas. Para mantener la numerología, a continuación listo siete áreas a tener en mente:

  • Gestión de riesgos: significa reducir, transferir o aceptar los riesgos. Hay que empezar por identificar, evaluar y mitigar los riesgos relacionados con la seguridad de la información, y luego crear procesos para priorizar, controlar y vigilar los riesgos. Tener una gestión de riesgos formal asegura que la gerencia de la empresa es consciente de cuáles son los riesgos críticos y por ello puede tomar las medidas adecuadas para manejarlos.
  • Estructura y política de cumplimiento: proporcionar a los usuarios normas y directrices concretas sobre el tema. La creación de las políticas de seguridad es solo el primer paso pues tienen que ser convertidas en normas, procedimientos y directrices técnicas para su implementación.
  • Gestión de activos de información: muchas compañías tienen dificultades para mantener sus activos de información. Para hacer frente a este problema hay que especificar quién es el dueño de la información, clasificar los activos, gestionarlos a través de su ciclo de vida y garantizar la adecuada retención y destrucción, tanto de los activos que manejan la información como de la información misma.
  • Continuidad del negocio y recuperación de desastres: la idea es reducir sustancialmente el impacto de los desastres y las interrupciones de negocio (o en algunos casos incluso evitarlos). El CISO necesita desarrollar un conjunto de procesos para mantener, entrenar al personal y administrar los riesgos del negocio, asegurando que los sistemas son redundantes y de alta disponibilidad, creando el personal necesario para ello cuando sea necesario.
  • Gestión de amenazas e incidentes: una vez más, los procesos bien establecidos son esenciales para asegurar que todas las amenazas se investigan, planifican y responden en el tiempo apropiado. Muchos CISO permanecen enfocados en amenazas a la infraestructura, a pesar de que la mayoría de las amenazas provienen de las vulnerabilidades que existen en las aplicaciones e incluso en la gente.
  • Seguridad física y ambiental: no importa cuán sofisticados sean los sistemas tecnológicos de seguridad, si no se controla el acceso a la empresa, su negocio nunca estará a salvo. Pensando en el futuro, algunas organizaciones están analizando la convergencia de la seguridad física y la lógica, creando procesos conjuntos integrales para compartir información y mejorar la eficiencia global de la seguridad. Los equipos y las instalaciones físicas requieren mantenimiento regular y los controles ambientales apropiados, tales como calefacción, aire acondicionado, etc., para mantener la continuidad de las operaciones.
  • Gestión de operaciones y desarrollo de sistemas: no deje que la seguridad llegue a un punto en el que los problemas se tienen que explicar más que prevenir. Si el compromiso con la seguridad está presente desde el primer día en el desarrollo de sistemas, seguramente habrá ahorros de tiempo, recursos y dinero. Un ciclo de desarrollo seguro de software incluye la revisión periódica de la arquitectura, garantía de calidad, control de acceso para el desarrollo y ciclos bien documentados de aprobación y puesta en producción.

.

Enfoque desde arriba (top-down)

La seguridad es un asunto complicado y encontrar una forma sencilla de gestionar y reportar los riesgos es la única manera de un CISO para hacer su trabajo y convencer a los directivos de que dicho trabajo es eficaz, produciendo resultados positivos para el negocio. Al trabajar de manera integral con las personas, la tecnología y los procesos, se podrá establecer una estructura que efectivamente monitoree, mida, controle e informe sobre los riesgos de la seguridad de la información, que al final lleve a que se cumplan las políticas de seguridad.

.

[email protected]