Canal de Telegram

1 ago 2007

Segu-Info » , » La Seguridad es un Requisito de Negocios

La Seguridad es un Requisito de Negocios

1 ago 2007, 7:01:00 p.m.   Comenta primero!
  ,  
Por Harry L. Waldron, CPCU, AAI y Microsoft MVP

Las Aseguradoras son un Ejemplo de Cómo la Seguridad se Aplica a Todos

Todas las compañías deben proteger sus recursos informáticos a partir de un proceso de seguridad que incluye: herramientas defensivas, políticas corporativas, alertas de seguridad, pruebas de seguridad y monitoreo. La seguridad representa un desafío corporativo para toda empresa interesada en asegurar su protección, su privacidad y su confidencialidad. Tal como sostiene una conocida regla de oro “La seguridad es tan fuerte como su vínculo más débil”.

La información financiera es un bien clave para las aseguradoras. Los contratos de las aseguradoras constituyen una promesa de protección basada en criterios de rigurosidad, confiabilidad y confidencialidad de la información de los clientes. Las aseguradoras deben proteger bien su información, así como los fabricantes deben salvaguardar sus inventarios y bienes físicos. La Seguridad Informática debe ser efectiva en todas las compañías para evitar la pérdida accidental e intencional (en ambos casos, embarazosa) de datos.

La Seguridad Informática y sus Procesos: Concéntrese tanto en las Herramientas como en la Gente

La Seguridad Informática no es una cuestión exclusiva de herramientas, porque también es un proceso que brinda soporte a la gente. Mantener la seguridad de un entorno de negocios es un desafío que nunca termina. Siempre aparecen nuevos riesgos, y los especialistas en seguridad enfrentan constantemente nuevos desafíos a la hora de proteger sus organizaciones. El Apartado A, desarrollado más adelante en este artículo, ofrece una lista de verificación con las iniciativas más importantes de seguridad que integran el programa más completo sobre Seguridad Informática.

Para empezar, las compañías deben invertir en su staff: en capacitación, en herramientas y en proyectos de seguridad. Las aseguradoras consideran que la seguridad es un tema muy serio porque deben proteger la privacidad de sus clientes, secretos competitivos y otro tipo de propiedad intelectual. El proceso de seguridad opera mejor cuando las compañías implementan las mejores herramientas defensivas, cuando educan activamente a su comunidad de usuarios, cuando le brindan a su departamento TI los mecanismos necesarios para monitorear de manera proactiva un panorama cambiante.

Muchas compañías prefieren una aproximación concentrada exclusivamente en las herramientas, allí donde el proceso de seguridad es más transparente y enfatiza menos en la idea de involucrar a la gente. Sin embargo, si bien el software de seguridad ha mejorado, esta aproximación no es recomendable porque existen riesgos de negocio que no pueden solucionarse mediante el uso exclusivo de software. Aparecen beneficios mayores cuando los profesionales de negocios se involucran y cuando se los capacita con algún curso básico sobre seguridad.

Tal como lo demuestra la mencionada lista de verificación que ilustra este artículo, una aproximación más efectiva incluye tanto a las herramientas como a la gente. Piense en la mañana del 5 de Mayo de 2000, cuando ocurrió el ataque del virus Love Bug. La protección de los proveedores de antivirus tardó en llegar. Aún cuando muchos particulares contaron con una protección anti-virus, este gusano se expandió rápidamente y provocó en todo el mundo daños valuados en cerca de $20 mil millones. Por suerte, en Atlantic Mutual Insurance Companies habíamos implementado un sistema de alerta para todos los empleados, y habíamos capacitado a nuestros profesionales sobre cómo manejar mails en forma segura. Por eso nuestra empresa sufrió muy pocas infecciones y ninguna baja en su rendimiento.

El proceso de seguridad exige que los usuarios sepan cuándo abrir archivos adjuntos o links. Recordemos que Kevin Mitnick, uno de los usuarios maliciosos con más renombre, utilizó esquemas de ingeniería social con baja tecnología con el fin de ganar acceso a las computadoras de la gente, tras lograr que estas personas le revelaran sus claves.

Educar sobre la importancia de la seguridad informática debería contemplar los siguientes aspectos: capacitación sobre política corporativa, capacitación sobre un uso seguro de Internet y del correo electrónico, y la puesta en marcha de una metodología que proteja mejor la confidencialidad de toda la información. Por ejemplo, las compañías pueden ofrecer clases Lunch-and-Learn sobre encriptación, o sobre cómo proteger los sistemas operativos de las computadoras portátiles, e incluso pueden ofrecer demostraciones sobre cómo la seguridad compromete a los sistemas informáticos.

La intranet corporativa puede ser un recurso excelente para difundir información sobre capacitación y referencias de seguridad. En 1997, en Atlantic Mutual desarrollamos un sitio Web sobre seguridad donde publicamos nuestra política corporativa, guías sobre nuestras mejores prácticas, newsletters mensuales, guías “Cómo Hacerlo” relacionadas con la instalación de software de seguridad, y más. Montar páginas Web antes que distribuir manuales impresos ahorra dinero, y permite que la compañía actualice fácilmente el contenido y comparta con sus empleados más información útil a través de los links incluidos en la intranet.

La Función Seguridad Informática debe ser Enriquecida

Además de proveer capacitación y herramientas, la eficiencia en materia de seguridad debe partir de una función de Seguridad TI correctamente fundada y reconocida. El equipo de Seguridad TI es responsable de algo más que la administración de cuentas de usuarios, porque todos los recursos informáticos de una compañía requieren protección. Un equipo TI eficiente debe buscar activamente nuevas amenazas para poder anticiparlas y combatirlas con una protección “justo a tiempo”. También deben monitorear la actividad de las redes y evaluar los controles de seguridad para identificar oportunidades que permitan fortalecer la defensa.

La información es valiosa en todas las compañías. Primero, toda empresa debe contar con las mejores herramientas disponibles. Segundo, todos el personal –desde la recepcionista hasta el CEO– juegan un papel importante en el proceso defensivo. Finalmente, una función de Seguridad TI activa permite generar sinergia en el proceso, de tal manera que se obtengan resultados relevantes y efectivos en todo sentido. El proceso exige un trabajo continuo que dará sus frutos: evitará saqueos de información, evitará la violación de políticas de seguridad y –algo más importante aún– ayudará a desarrollar una fuerza de trabajo educada y protectora.

Apartado A – Lista de Verificación de la Seguridad Corporativa

1.Implemente las Mejores Defensas Tecnológicas
- Sistema de firewall comercial (como la red de perímetro [DMZ], servidor seguro, o sistema de monitoreo).
- Protección de antivirus corporativo (con actualización centralizada, alertas y una administración eficiente del correo electrónico, de las computadoras de servidor y de las estaciones de trabajo corporativas).
- Protección de antispyware corporativo para estaciones de trabajo.
- Filtro de contenido Web para impedir a los usuarios que accedan a sitios dañinos.
- Controles de filtro de spam para sistemas de correo electrónico.
- Bloqueo de archivos adjuntos para sistemas de correo electrónico.
- Métodos alternativos o más confiables de intercambio de documentos, utilizando entidades externas.
- Estándares de configuración de seguridad (estándares mínimos que deben aplicarse) para servidores, computadoras, redes y otros recursos técnicos.
- Controles de acceso remoto y estándares (como software de control remoto, dial-in o autentificación de VPN).
- Claves complejas o sólidas para redes, servidores o autentificación de datos.
- Dos técnicas de autentificación de factores (como tarjetas con ID seguras, Cryptocards y parámetros biométricos).
- Encriptación para sesiones Web, campos con bases de datos confidenciales, computadoras de servidores confidenciales, computadoras portátiles, etc.
- Protección de privacidad (controles especiales para asegurarse de que la información sobre los clientes se encuentra bien protegida).
- Controles de aplicación de niveles de seguridad. (Para aplicaciones cliente/servidor. Esto protege mejor los sistemas de aplicación en caso de que las cuentas del administrador se encuentren comprometidas.)


2. Capacitación Continua sobre Seguridad
- Informe sobre los temas de seguridad más relevantes (dicte clases sobre políticas clave, privacidad, uso de claves, confidencialidad, spyware, phishing, entre otros). Se trata de enseñar algo más que a no abrir archivos de dudoso origen o a no hacer clic en links desconocidos.
- Ofrezca propuestas de lunch-and-learn o más presentaciones formales, que deberían ser breves, fácil de entender y valiosas.
- Desarrolle un sistema de alerta de mails en toda la compañía para cuando los virus u otras amenazas burlen los sistemas corporativos de defensa e intenten ingresar a las bandejas de entrada.
- Cree un sitio Web de intranet sobre seguridad, excelente recurso para el Departamento TI de Seguridad. Este espacio puede almacenar políticas informativas, mejores prácticas, un historial de newsletters mensuales y referencias informativas. Los links a sitios Web relevantes pueden entonces ser fácilmente compartidos por correo electrónico.
- Explique que todos los empleados cumplen con un rol vital en términos de seguridad corporativa. Esto significa que todos los empleados deben ser cuidadosos a la hora de compartir información, de proteger los equipos, de evitar todo riesgo de software malicioso. En el mundo de la Seguridad IT circula el siguiente mensaje: "SECURITY = SEC-U-R-IT-Y". En inglés estas letras se leen como “You are It” (tú eres eso; tú eres seguridad); de esta manera se pone énfasis en la necesidad de que cada persona cumple con una función importante a la hora de proteger la información de la compañía.
- Insista en el hecho de que a veces los empleados son la última línea de defensa. Es posible que los agentes de software malicioso o los ataques de ingeniería social penetren los sistemas de defensa y lleguen al usuario. Por lo tanto, conviene entrenar a los empleados para que sepan identificar amenazas y reportarlas a la mesa de ayuda. La capacitación en Seguridad debe empezar como parte del proceso de orientación de todo nuevo empleado. Esta primera aproximación debería continuar por correo electrónico, a través del mencionado sitio web de la intranet y de clases formales. Estas oportunidades de capacitación sirven para evitar –y en el peor de los casos enfrentar¬– ataques mientras la compañía sigue operando sin sufrir bajas en su rendimiento y en sus equipos.

3. Proceso Activo de Administración de Seguridad
- Instale las actualizaciones de Microsoft de manera expeditiva (ahora la aplicación de los parches de seguridad puede realizarse en cuestión de horas).
- Cree un inventario de todos los productos y manténgase al tanto sobre los lanzamientos relacionados con la seguridad. Los productos nuevos deben ser evaluados e instalados lo antes posible, cada vez que se lance una nueva actualización de seguridad.
- Manténgase al tanto sobre los productos que cuentan con soporte (nuevas versiones y service packs). Por ejemplo, reemplace Windows 2000 por Windows XP o Windows Vista.
- Recurra a la distribución automática de software para instalar soluciones de seguridad (por ejemplo, actualizaciones de definiciones de virus, actualizaciones de Windows Server Update Services, service packs, etc).
- Testee las defensas de seguridad internamente, desde la compañía misma, y externamente, por proveedores expertos que controlan la seguridad de la empresa periódicamente (control del nivel de vulnerabilidad de la red, evaluación del nivel de penetración de la red, control de claves, control de servidores, computadoras, routers, accesos remotos, entre otros).
- Ejecute auditorías de seguridad. Examine los antecedentes y busque la manera de fortalecer los controles de seguridad. (Por ejemplo, verifique el funcionamiento del sistema de detección de intrusiones, de firewalls, y de otras aplicaciones de seguridad).
- Monitoree amenazas. Los profesionales de Seguridad TI deben evaluar constantemente la aparición de nuevas formas de exposición, y tomar las medidas necesarias para reducir ataques potenciales.
- Mantenga actualizados las políticas, los procedimientos y los estándares de seguridad, y fomente las mejores reacciones entre los empleados (Por ejemplo, redacte políticas fáciles de entender, use un marco positivo, y manténgase al tanto de lo que ocurre en las áreas de tecnología).
- Capacite al equipo de Seguridad TI. Esto es muy importante porque los miembros de este equipo trabajan en un entorno complejo y siempre cambiante. Por su parte, cada integrante también debe invertir en su propia capacitación.
- El Gerente de Seguridad Informática debe mantenerse informado sobre las novedades en materia de seguridad y sobre su impacto potencial. Se recomienda organizar una reunión por mes con el líder de la compañía para discutir riesgos, tendencias y para obtener la aprobación de estrategias de seguridad mejoradas, que conducen a un entorno de negocios mejorado.

Fuente: http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/julio/sv0707.mspx

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!