A medida que entramos en lo que puede ser un 2009 sombrío, las organizaciones en todas partes buscarán, sin dudas, donde pueden eliminar costos o recortar personal. Puesto que los beneficios de la seguridad TI tienen un efecto intangible en el balance de una corporación, es un área que, en muchos casos, desafortunadamente puede ser una de las primeras a las que se le restringa el presupuesto. Esta es una preocupación real para muchos administradores de seguridad informática y su personal, en tanto supongo que los fondos usualmente no se aumentan cuando corren los buenos tiempos. En resumen, ahora es probable que veamos la composición de recursos que ya estaban estirados y ahora recortados aun más.
Cualquier recorte de presupuesto, sin embargo, no debe llevar a una caída en la concientización de la seguridad. Como administrador de seguridad haga del patrocinio de la seguridad de la información a alto nivel una prioridad en la organización, para asegurar el cumplimiento continuado de las políticas de seguridad. Los gerentes de otros departamentos estarán bajo una gran presión para completar sus proyectos rápidamente y de forma económica, pero esas necesidades no debe llevar a situaciones en la que la seguridad se vea comprometida. Los desastres se pueden evitar verificando que la propiedad, la responsabilidad y la imputabilidad del riesgo está clara en las políticas y la descripción de las tareas. Después de todos, la alta dirección es legalmente responsable por el cumplimiento.
Entonces ¿cómo pueden afrontar mejor los equipos de seguridad informática los duros tiempos que vienen?. Un tema que necesita atención de inmediato, en particular si los despidos es probable que ocurran dentro del departamento de TI, es la continuidad. A menos que se ponga habilidad y un planeamiento de sucesión, el conocimiento actual se irá junto con los empleados que se vayan. ¿Sabe más de una persona hacer el mantenimiento y solucionar fallas del servidor de correo? ¿Cuántos administradores saben realmente cómo se configura el firewall? La separación de tareas es importante para la seguridad, pero también lo es la rotación en las tareas. Eso le asegura que no es dependiente de un sólo miembro de su personal para una especialidad en particular -- un predicamento que puede ocurrir a menudo cuando el equipo es pequeño, o si hay una falta de miembros más jóvenes para ser identificados y entrenarlos.
Las politicas de seguridad de los recursos humanos deben ser revisadas para asegurarse que imponen un ciclo de vida robusto de la seguridad del empleado, incluyendo cualquier trabajador temporal externo, contratistas y consultores. RRHH y los departamentos de TI deben trabajar estrechamente cuando los compañeros enfrentan cambios de circunstancias para asegurarse que el acceso a los recursos e instalaciones de TI reflejen siempre con precisión la tarea y posición del empleado. Por ejemplo, procedimientos para asegurarse la devolución de las tarjetas de acceso e insignias de identificación son algo común cuando un empleado deja la organización, pero a menudo hay brechas en el manejo de la seguridad lógica, tales como el cierre a tiempo de una cuenta de usuario en la red.
Uniendo los equipos de seguridad física y lógica de TI
Una forma de mejorar el manejo de la seguridad general sin gastar más es uniendo los equipos de seguridad física y de seguridad lógica. Con recursos limitados, siempre ha sido difícil imponer la conformidad en los escritorios, dada la naturaleza de los post-it con contraseñas anotadas, laptops no aseguradas o llaves USB y otras cosas similares.
¿Por qué no hacer mayor uso de los equipos de seguridad física que ya están patrullando los edificios de sus oficinas e instalaciones? Pueden ser entrenados fácilmente para detectar y buscar violaciones de la política de seguridad informática, tales como escritorios limpios o salas de servidores correctamente aseguradas, mientras patrullan e informar de cualquier violación.
Equipando a las patrullas nocturnas con dispositivos de detección inalámbrica, que cuestan solo algunos cientos de dolares cuanto mucho, le permitiría detectar routers no autorizados. Tales medidas proveerían casi de revisiones diarias de cumplimiento de seguridad. Los empleados tomarían rápidamente conciencia que el equipo de seguridad de TI tiene una presencia tanto física como la lógica. El mensaje podría ser reforzado con capacitación obligatoria para los infractores. Este enfoque da protección real a un costo relativamente bajo.
Al trabajar más de cerca con el personal de seguridad física, el equipo de seguridad informática puede maximizar el potencial de seguridad de ambos conjuntos de sistemas, protegiendo tanto los activos lógicos como los reales. Por ejemplo, al personal de muchas organizaciones se le exige que lleve su tarjeta de identificación. Si las tarjetas son usadas además para una identificación única de login (SSO), entonces proveerán de un medio centralizado para establecer e imponer las políticas de acceso para los recursos lógicos y físicos usando una autenticación de dos factores. Los dos equipos responsables de la seguridad pueden complementar y reforzar el trabajo de otro y conseguir mejor cumplimiento con las numerosas políticas y regulaciones, lo cual es un objetivo que vale la pena por sí mismo.
En 2009, cada organización se va a enfocar en ser más inteligente, ajustada y económica, de modo que la seguridad no va a ser ser de máxima prioridad. Es importante que el equipo de seguridad informática comprenda esto, de otra forma quedarán condenados a las frustraciones y fallas. Sin embargo, usando los cambios que indefectiblemente suceden durante las reducciones y reestructuraciones, hay muchas formas en que la importancia de la seguridad de la información puede ser comunicada. El cambio brinda una oportunidad para incluir la seguridad en nuevos procesos de negocios y una posibilidad de eliminar una cultura que le permite a la gente eludirla u omitirla.
Traducido para blog Segu-info por Raúl Batista
Autor: Michael Cobb - CISSP
Fuente: Searchsecurity.co.uk
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!