Una estrategia de seguridad de la información, apoyada en un diseño que combine una infraestructura propia de seguridad y un esquema de servicios en outsourcing adecuado, puede mejorar su posición de cumplimiento… y su tranquilidad.
Durante mucho tiempo las organizaciones han sido más reactivas que proactivas en el ámbito de la seguridad informática. La incorporación de elementos de seguridad se ha dado en ocasiones por moda y en otros momentos por una necesidad inminente de resolver un problema.
En una misma organización se pueden encontrar diversas plataformas de diferentes fabricantes haciendo que su infraestructura se asemeje a una auténtica exposición de tecnología. El cada vez más común recorte de presupuesto correspondiente a TI en las organizaciones hace más difícil mantenerlas actualizadas y en funcionamiento, incluso, yendo más lejos, hace mucho más compleja su interoperabilidad.
Es importante recalcar que en estos entornos se suele encontrar más de una plataforma que ofrece la misma funcionalidad, por lo que el administrador deberá desarrollar un proceso sistematizado que le permita evaluar de entre las distintas opciones la que mejor se adecúe a sus necesidades. En otros casos existen alternativas como los servicios administrados, que pueden economizar los gastos asociados con el monitoreo 7×24, el manejo de incidentes y la elaboración de reportes.
De acuerdo con lo anterior, esta estrategia de operación involucra la definición de un modelo a la medida de las necesidades de la organización, en el cual se puede tener una infraestructura básica de seguridad de la información con una inversión propia y apalancarla con un servicio en outsourcing de monitoreo que correlacione todos los eventos de seguridad.
El modelo de arquitectura de seguridad define esta estrategia. Así pues, el arquitecto de seguridad comenzará por realizar un análisis de riesgos donde determinará tanto el grado de exposición de la organización a amenazas como el balance adecuado de elementos y servicios de seguridad requeridos.
Para realizar este análisis de riesgos el arquitecto de seguridad debe tomar en cuenta la normatividad aplicable a la organización y hacer coincidir los objetivos de TI con los objetivos del negocio.
Como se puede inferir de lo anterior, cuando se habla de arquitectura de seguridad se están abarcando muchos campos de conocimiento: desarrollo, administración de sistemas, aplicaciones de escritorio, infraestructura de comunicación de datos, por lo que este concepto no se limita a elementos tan puntuales como lo pueden ser la constitución de un sistema o la conformación de un grupo de trabajo.
Entonces ¿por dónde empezar? A continuación sugerimos algunos pasos a seguir a fin de dar un enfoque metodológico a la arquitectura de seguridad:
Apegarse a los lineamientos de las políticas de seguridad. Ha terminado la era de hacer las instalaciones con los valores por omisión. Si el administrador trabaja en las opciones y preferencias de la configuración de los programas puede crear una visión sistemática de la seguridad corporativa y permearla a todos los niveles de la organización.
Cada decisión debe ser sustentada y acreditable. Cada inserción o eliminación de un elemento en la arquitectura global debe estar sustentada como mejora o depuración de alguna que haya sido previamente acordada.
Respetar el principio del menor privilegio (least privilege). Cuando en una arquitectura de seguridad se respeta el que nada tenga más permisos de los necesarios, se disminuye la posibilidad de que en un ataque se puedan elevar privilegios y con esto se acota el daño potencial que se pudiese sufrir.
Defensa en profundidad. Una adecuada arquitectura de seguridad considera varias funciones de seguridad operando en diferentes niveles, de manera que se evite manejar una sola plataforma que, en caso de ser vencida, deje expuestos los recursos de información.
Incorporar elementos de auditoría. Con el fin de tener elementos de mejora continua hay que mantener historiales de todos los eventos de seguridad. Una de las primeras actividades de un hacker al hacer una intrusión a un sistema es ocultar sus huellas. Es muy importante desarrollar una estrategia de generación, protección y preservación de evidencias.
Adicionalmente, hay que tener en cuenta que un esquema de seguridad es tan robusto como su enlace más débil y que la tarea de fortalecer la arquitectura de seguridad es una etapa y no un destino. Hay que seguir informándose y mantener un sentido autocrítico con el fin de estar listo para tomar las decisiones y realizar los ajustes más apropiados.
Deja tu comentario