Las 10 mejores prácticas en seguridadHoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. He aquí las 10 más importantes.

Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandan proactividad, alineación con el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.

Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.

Cuáles de esas best practices implementar dependerá de las necesidades de cada organización, sin embargo, consultores, analistas y proveedores expertos conforman, para b:Secure, el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad.

1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.

“Si se quieren colocar controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los sistemas relevantes; se corre el riesgo de perder el rumbo”, advierte Ricardo Lira, gerente de CARE de Ernst and Young.

Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar “las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa”, sugiere Carlos Zamora presidente de ISACA (Asociación de Auditoría y Control de Sistemas de Información)

Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir “qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia”, precisa Zamora.

Por último, “viene bien hacer una clasificación de la información para evaluar cuál es la más crítica, con el fin de dotarla de los mayores controles”, refiere Octavio Amador, director de servicios de consultoría de Symantec.

Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.

2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es lo prioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.

Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. “En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientes como para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados”, afirma Francisco Puente, CEO de GCP Global.

¿Cómo identificar esto? Una alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o sus contraseñas. “La manera común es aplicar pruebas y ver cómo ejecutan los procedimientos, pero hay otras opciones para llegar realmente al fondo de su cultura de protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver cuál es su reacción”, indica Puente.

A su vez, Zamora comenta que incluso se debería analizar qué tan relevante es en las actividades diarias de los empleados el tema de seguridad. De hecho, “eso tendría que ser parte de la evaluación del desempeño del personal”.

Más aún, agrega, habría que incluir en las pruebas a los candidatos a ingresar a la empresa alguna para conocer su nivel de cultura de protección.

Todo esto, con la idea de generar un modelo visual del mapa de riesgos de la empresa, en donde se considere todo lo crítico y no sólo las cuestiones de infraestructura.

Pero eso no es todo, para redondear esta mejor práctica conviene, además, no olvidarse de cuantificar los riesgos y exponer a los directores cuál sería la pérdida potencial de los activos frente a las posibles amenazas. Algo que además de poner en alerta a la alta dirección sobre los peligros y su impacto, ayudará a justificar la inversión solicitada para la estrategia de protección.

3. Diseñar un plan o programa estratégico de seguridad de la información. Tomando como punto de partida el análisis de riesgos, hay que elaborar un plan, con sus debidas metodologías y prácticas, pero alineado con el de la compañía, para que todo lo hecho por el área de seguridad vaya en sentido de las iniciativas del negocio.

Esto porque en ocasiones se pone foco en aspectos que realmente no le agregan valor a la organización. “En algunas empresas sucede que el área de seguridad gasta mucho en la parte perimetral y luego resulta que en realidad eso no le aporta tanto a la firma”, sentencia Lira.

Por eso es conveniente buscar esta alineación con el negocio, así como también lo es “fijar al plan de protección un ciclo de vida y basarlo en estándares”, recomienda Juan José Gutiérrez, director del programa ejecutivo de seguridad de Gartner en México.

Coincide con él, Rommel García Vega, gerente senior de la práctica de seguridad informática de KPMG, quien resalta la importancia de establecer objetivos con plazos bien definidos, dentro de dicho plan. “Hay metas que se pueden fijar a tres meses, otras a seis meses y las de largo plazo a máximo dos años, pero no más, porque ya no sería viable”.

4. Definir e implementar políticas y lineamientos de seguridad. Una práctica muy importante es establecer reglas y lineamientos para el manejo seguro de la información, los sistemas y los procedimientos de la empresa.

Dichas políticas deben transmitirse e implementarse a través de estructuras jerárquicas y “no sólo colocarlas en un repositorio de datos, sin darles el contexto debido”, asegura el analista de Gartner.

Pero ojo, las políticas que se establezcan deben ser flexibles, cuando así convenga, para no entorpecer el funcionamiento de la organización ni afectar el trabajo de los usuarios internos.

Cada lineamiento debe establecer las consecuencias de no seguirlo y frente a cualquier desacato se debe aplicar la sanción correspondiente, “porque de lo contrario las políticas se vuelven libros muertos, que nadie respeta”, sentencia el especialista de KPMG.

Claro que en todo esto se debe incluir no sólo a los empleados internos, sino también a todos aquellos terceros con quienes la empresa intercambia información o procesos.

“La cadena de seguridad no empieza ni termina dentro de la organización, viene desde los proveedores y abarca a los clientes”, apunta Zamora. Por lo tanto, hay que considerarlos e incluirlos en las políticas para el manejo seguro de la información y los procesos del negocio.

5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las mejores prácticas es educar y capacitar a los miembros de la organización respecto a las amenazas y a la conveniencia de acatar las políticas de protección para no abrir vulnerabilidades.

Sin embargo, el CEO de GCP Global subraya que esto no se logra organizando “campañitas generales de concientización”, es necesario ir mucho más allá.

Entre quienes se identificó (en el análisis previo de la situación general de la organización) que son personal de riesgo, por su falta de cultura de seguridad o su negligencia, es necesario iniciar una labor de concientización. En cuanto a aquellos que tienen acceso a información crítica para el negocio, lo más adecuado es brindarles la capacitación necesaria respecto a cómo manejarla.

En este sentido, Lira opina que lo correcto es empezar con las áreas y personas de mayor riesgo, debido a la información que manejan, y tener un énfasis constante en ellas. Después hay que irse a la concientización a nivel compañía, porque de una u otra forma todos tienen acceso a datos, aunque lo conveniente es avanzar por grupos o áreas e incorporar el tema de seguridad en los cursos de inducción, para incluir a los nuevos empleados.

Además, hay que considerar que las pláticas y cursos no son la única forma de transmitir las políticas ni de educar a los empleados. Se pueden enviar mensajes en protectores de pantalla, a través de la intranet, etcétera.

6. Confirmar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día.

Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y con conocimientos en diferentes campos de la misma.

Idealmente, este equipo debe ser independiente del departamento de informática, porque “si esta función se integra dentro del área de sistemas, probablemente se caerá en el dilema de operar o asegurar”, señala García, de KPMG.

En cuanto a la cuestión de a quién le reporta el área de seguridad, lo ideal es que sea a la dirección general, porque el director de sistemas está demasiado absorto en los temas operativos como para darle el peso necesario a las cuestiones de protección.

Además, si hay oportunidad, también es una buena práctica crear un comité de seguridad, en el que se incluya a miembros de las diferentes áreas de la organización y a representantes de la alta dirección, “para entre todos delinear qué es lo más importante a cubrir y ejecutar en esta materia”, considera García.

7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente a amenazas.

Esto que pareciera tan básico es algo que todavía se está descuidando. Los programas y las aplicaciones de desarrollo in house (e incluso los comerciales) se diseñan sin considerar los

factores requeridos para su protección, lo cual se convierte en una de las principales causas-raíz de los incidentes.

Una manera de enfrentar este problema es establecer una mayor colaboración entre quienes se encargan de desarrollar las aplicaciones y el personal encargado de la seguridad informática.

En Estados Unidos, menciona Lira, ya es más frecuente que el personal de desarrollo de software se reúna con el de seguridad para establecer en conjunto los lineamientos que en esta materia deben cumplir las aplicaciones y ejecutar las pruebas correspondientes en la infraestructura.

De manera que en México convendría empezar a dotar de más peso a este trabajo conjunto e incluso, considera Lira, transformarlo en un estándar tanto para las empresas de software comercial como para aquellas que hacen desarrollos in house.

8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos, “ya sea de forma cuantitativa o cualitativa (la opinión de los usuarios respecto a esto), porque muchas empresas están utilizando este esquema, pero sin aplicar los controles adecuados” considera Enrique Bertran, director de la práctica de soluciones de seguridad de la información de PriceWaterHouse Coopers.

La periodicidad de estas evaluaciones dependerá del tipo de servicio involucrado. “La atención a los incidentes debe medirse frente a cada uno de estos, pero otras cuestiones pueden calificarse cada mes, cada 60 días o mínimo cada seis meses”, precisa Bertran.

9. Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a través de métricas, con las que se evalúe tecnología, procesos y personas.

Las alternativas para esto son muchas y muy variadas. “Se puede evaluar el proceso de administración de incidentes, las vulnerabilidades, el control de versiones y el grado de conciencia del personal, por ejemplo”, apunta Lira.

También es posible recurrir a mediciones del número de deficiencias identificadas en compliance en la última auditoría, “el número de políticas que no se cumplen, los usuarios capacitados o la cifra de alertas procesadas”, sugiere Gutiérrez.

Los resultados de todo esto deben comunicarse a la alta dirección, porque sus miembros necesitan saber cómo evoluciona la seguridad de la información. Pero hay que plasmar los avances de forma sencilla. “Lo más conveniente es llegar con una presentación corta y decir: en aplicaciones críticas estamos así; en operaciones de esta forma, o bien se pueden utilizar semáforos, para mostrar el avance de la estrategia y el estado de los activos”, expresa el consultor de Ernst and Young.

Lo más recomendable es que el encargado de seguridad reporte cada mes a la alta dirección, el avance de su estrategia, porque además el seguimiento debe ser continuo.Algo que ayuda a esto es el monitoreo, “para tener una fotografía de la infraestructura, tanto en configuraciones, como en aplicaciones y equipos”, comenta Juan Ovalle de Attachmate.

10. Definir y probar un Plan de Recuperación en Caso de Desastres (DRP). Ya está más que perneada entre las compañías la conveniencia de establecer estrategias de continuidad para el negocio. Y aunque la mayoría de las organizaciones no dispone de un site alternativo, si cuentan con los respaldos suficientes para recuperar su información.

Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o haya que respaldar sólo algunos componentes, incluso en el mismo edificio, conviene considerar ciertos factores para no toparse después con sorpresas.

Unos de estos aspectos son: validar que los sistemas de contingencia funcionan adecuadamente y están actualizados, así como comprobar que los procesos y la información se pueden recuperar.

Además es necesario hacer una análisis de impacto al negocio, para ver si realmente se está respaldando y recuperando lo verdaderamente importante y si se han contemplado todos los escenarios posibles, porque en muchos casos esto se omite.

“Lo que se hace es algo más técnico y sustentado sólo en el sentido común, se evalúan servidores o aplicativos y se procede a protegerlos, pero el 90% de las compañías no realiza un verdadero análisis de impacto al negocio para ver qué debe contemplar su DRP o su plan de continuidad”, enfatiza Bertran.

Algo que tampoco se debe pasar por alto en todo esto es alcanzar los niveles de servicio esperados por la dirección en los sistemas y procesos recuperados, así como tener bien establecido el tiempo tolerable por la directiva para tener fuera un sistema o proceso.

Por supuesto, no es necesario implementar a pie juntillas todas estas prácticas, porque las recetas no existen en esto, cada empresas deberá utilizar las que le sean más funcionales e incluso otras.

Así se hace en Alestra

Ricardo Morales, gerente de seguridad de informática e implementación de servicios menciona que en esta compañía se utilizan mejores prácticas como: plan de continuidad del negocio; análisis de riesgo y métricas que se monitorean y pasan por auditorías.

Además existe en la empresa un comité de seguridad, con validez oficial sobre aprobaciones, cuyas juntas ordinarias se realizan de forma bimestral con el fin de evaluar el seguimiento de los proyectos de protección, tipos de vulnerabilidades y manejo de incidentes.

Por otra parte, los objetivos del negocio y los de seguridad tienen tal alineación, que la dirección general y el mencionado comité han dado su total aval al sistema de protección.

Asimismo, la capacitación del personal respecto al tema de seguridad se considera aquí algo crítico, además dentro de las auditorías se verifica que quienes operan los sistemas lo hagan de la forma correcta.

Así se hace en Infonavit

Entre las mejores prácticas que maneja esta institución, apunta Ricardo Flores, gerente de auditoría de IT, destacan: el manejo de una cultura de seguridad informática institucional, que reduce en gran medida los problemas, porque genera conciencia y responsabilidad en todos.

También se manejan cartas responsivas de altas de usuarios, en las cuales se incluyen las responsabilidades que adquiere el personal con la asignación de su cuenta.

Además se usan bitácoras y Logs qe permitan rastreabilidad de las transacciones e identificar en cualquier momento quién realizó cada operación, quién la autorizó, cuándo fue realizada, desde dónde y toda esta información está disponible para el personal de auditoría.