Connect with us

CSO

Grandes ideas para implementar un programa de seguridad

José Luis Becerra

Published

on

CSO entrevistó a cientos de CISOs, académicos, investigadores, consultores y filósofos sobre diferentes conceptos con un objetivo común: elevar el nivel de desempeño de los profesionales de seguridad así como de las áreas de Seguridad de la Información dentro de las organizaciones.

Como resultado, la revista publicó un listado de más de 70 ideas útiles para implementar programas de seguridad. Aquí recopilamos algunas de las más relevantes.

1. Curse una maestría en administración o negocios. No es suficiente aprender algunas palabras comunes del lenguaje de negocios. Una educación en temas de administración de empresas ayuda a tener un mayor entendimiento de los principios del negocio.

2. Realice un tour a pie por la seguridad de su compañía. Vea con ojos nuevos cada elemento de su organización: call center, front desk, sistemas de punto de venta, estaciones de trabajo, estacionamiento, centros de datos, almacén e inventario, etc. ¿Sus defensas abarcan toda la organización y están actualizadas?

3. Cifre los datos sensibles ANTES de enviarlos a su proveedor de nube. Una vez que salen del perímetro de su red, los datos quedan expuestos a la protección del proveedor de servicios de nube. No le deje toda la responsabilidad.

4. Actualice su BIA. Priorizar es la clave en los esfuerzos de recuperación de desastres o mitigación de riesgos. El BIA debe considerar: tiempo antes del impacto, así como impacto al cliente, regulatorio y financiero.

5. Piense en MTF. Algunos archivos son muy largos o sensibles para ser transmitidos vía correo electrónico, y seguramente los empleados utilizan servicios como Dropbox, Sharepoint o similares. Si esto genera un riesgo de pérdida de datos confidenciales, la transferencia gestionada de archivos (MTF) puede ser la solución.

6. Implemente CLASP. Entrene a sus desarrolladores de software para construir código seguro desde el principio, en vez de tratar de buscar bugs ya que estén en operación. CLASP es una metodología de seguridad de software abierto, pero también funciona Secure Development Lifecycle de Microsoft, o algún marco de referencia establecido.

7. Gestione los móviles. Pero no base su estrategia en ello, la gestión de BYOD es sólo una parte del rompecabezas.

8. Utilice Políticas de Grupos en AD para asegurar Internet Explorer. Esta opción de configurar políticas en Active Directory permite a los administradores controlar la configuración de Internet Explorer y asegurar los navegadores de toda la empresa.

9. Eduque a los usuarios sobre temas de seguridad personal. Ayúdelos a identificar estafas, cajeros automáticos con dispositivos de clonación y malas políticas de privacidad. Sus hábitos de seguridad incrementarán y estarán más receptivos a las preocupaciones de seguridad de su empresa.

10. Cree su propio laboratorio forense digital. Existen herramientas en el mercado que se adecúan tanto a las necesidades de las empresas con presupuesto, como para aquéllas que no lo tienen (en cuyo caso funciona contar con un disco duro externo y técnicas de edición de Windows Registry).

11. Rastree las fugas de información en línea. Puede utilizar herramientas como Monittor.com, Limewire, Addictomatic y Google Alerts.

12. Asigne los mínimos privilegios a sus usuarios. Para reducir el daño causado por el malware, los usuarios solamente deberían tener la mínima cantidad de privilegios necesarios.

13. Sepa cuándo frenar su lista de riesgos. Muchas organizaciones enfatizan mucho el registro de riesgos, listando cualquier cosa que pudiera fallar. Sin embargo, es difícil saber cuándo detenerse para no caer en la tentación de incluir hasta la posibilidad de que una aeronave atraviese el techo del centro de datos. Es mejor enfocarse en riesgos más comunes de mayor impacto.

14. Coloque el apartado de “Logros” en la parte superior de su resumen. Los líderes de negocio buscan resultados cuantificables en los perfiles que quieren contratar.

15. Ponga a prueba su red. Arroje cuanto ataque malicioso sea posible al tráfico de su red y evalúe cómo se comportan los productos de seguridad de red que tiene. Herramientas como Ixia, BreakingPoint Systems, Mu Dynamics y Spirent Communications le pueden ayudar.

16. Piense en términos de protección de propiedad intelectual, no sólo datos. No es suficiente cumplir con las leyes de protección de información; la propiedad intelectual se encuentra en diferentes sitios y bajo distintas formas.

17. ¡Deje de multiplicar números! Si elabora un listado de probables amenazas en una escala de uno a diez, y luego enlista el impacto, y multiplica ambos números, lo que obtendrá es un número aleatorio.

18. Proteja sus claves API de nube. Las API son interfaces de acceso a servicios Web, muy fáciles de implementar en páginas web y móviles. Las claves API son similares a las contraseñas, y ya se sabe lo que sucede cuando se comprometen las contraseñas.

19. Evalúe sus planes de continuidad de negocios. ¿Qué pasaría si ocurre un desastre cerca del sitio donde se aloja el centro de datos? ¿Si un proveedor importante no puede entregar un componente crítico? ¿O si un administrador de TI siembre back doors antes de ser despedido?

20. Encuentre los componentes de seguridad que pueden ser asegurados. Detecte qué elementos pueden ser cubiertos por una póliza de seguro, explore el costo total del riesgo (TCOR) y presente el asunto a la persona indicada para adquirir la póliza.

21. Conozca la capacidad de ejecución de su área. No se base en el ROI que le ofrecen los proveedores de seguridad. Fundaméntese en la cultura de su empresa, las capacidades de su equipo y los resultados que pueden ofrecer. A veces no se explota el potencial de un producto porque hay muchas cosas sucediendo al mismo tiempo.

22. Dé a los usuarios finales el beneficio de la duda. Los usuarios, generalmente, quieren hacer lo correcto y no planean poner en riesgo a la compañía, pero necesitan hacer su trabajo y esa es su prioridad. Los profesionales de seguridad deben asegurarse que las cosas sean tan fáciles como sea posible.

23. Conozca la diferencia entre “Registros” y “Respaldos”. Un respaldo es información que se necesita resguardar para que el negocio se mantenga en operación. El registro es información que se debe almacenar durante determinado tiempo, por motivos de negocio o cumplimiento legal.

24. Establezca un tiempo de destrucción para los registros innecesarios. Este lapso será diferente para cada tipo de información almacenada y las leyes o regulaciones que aplican para esos datos en particular.

25. Formalice quiénes son los dueños de qué riesgos. Cuando la gente se siente responsable de algo, le prestará su atención.

26. Proteja el portal de comunicación de la mesa directiva. Si ya lo hizo, muy bien. Pero no confíe en las conexiones que el equipo de inversionistas ha establecido vía SharePoint.

27. Genere un documento de medidas contra vulnerabilidades. Este archivo le ayudará a identificar brechas y las oportunidades en donde un mero control puede defenderlo contra diversas vulnerabilidades.

28. Ponga a prueba a su personal. Envíe un mail de phishing y vea cuántos empleados le dan clic, o contrate a un ingeniero social que pretenda acceder físicamente al centro de datos con una identidad falsa.

29. Construya una red de colegas de riesgo. Busque relacionarse con profesionales que hablen el mismo idioma de gestión de registros, seguridad ambiental, detección de fraudes, prevención de pérdidas, etc. Y procure incluir en esa red a gente más joven que usted, pues ellos entenderán mejor el comportamiento de las nuevas generaciones.

30. Haga un mapa de sus datos. Cómo se crean, dónde se crean, qué les sucede, hacia dónde se transportan, quién accede a ellos, cómo se almacenan, transmiten y destruyen. El mapa de datos de su propiedad intelectual se convierte así en una huella digital para aplicar controles.

31. Cree un plan de sucesión. Este plan le ayudará a identificar las habilidades y las brechas de conocimientos en el personal que está en la línea de sucesión.

32. Procure que la seguridad se contemple desde el principio al planear nuevas oficinas. La ubicación oportuna de esquemas de control y cámaras de seguridad pueden ser un gran disuasorio para los criminales en potencia.

33. Implemente servicios redundantes para sus instalaciones. Los centros de datos requieren una alternativa para los servicios de electricidad, agua, voz y datos, cuya fuente de alimentación debe estar separada en dos líneas principales, subterráneas, y distanciadas la una de la otra.

34. Revise las políticas de seguridad, junto con sus colegas jóvenes. Esto no significa que hará que sus políticas sean más laxas, pero una buena retroalimentación puede ayudarle a encontrar frases que sean mejor aceptadas, o darle ideas sobre la evolución de las políticas aplicadas.

35. ¡Tome vacaciones! Refrésquese y recargue sus baterías. ¡Eso es todo!

– CSO

Advertisement
Advertisement

VIDEOS

Resources

Advertisement

Recientes

Advertisement