Las 10 mejores prácticas en seguridad
Páginas: 11 (2686 palabras)
Publicado: 27 de enero de 2010
Las 10 mejores prácticas en seguridad
Julio 5, 2009 por
Hoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. He aquí las 10 más importantes.
Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandanproactividad, alineación con el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.
Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.
Cuáles de esas best practices implementar dependerá de las necesidades de cada organización,sin embargo, consultores, analistas y proveedores expertos conforman, para b:Secure, el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad.
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizarcuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
“Si se quieren colocar controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los sistemas relevantes; se corre el riesgo de perder elrumbo”, advierte Ricardo Lira, gerente de CARE de Ernst and Young.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar “las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa”, sugiere Carlos Zamora presidente de ISACA(Asociación de Auditoría y Control de Sistemas de Información)
Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir “qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia”, precisa Zamora.
Por último, “viene bien hacer una clasificación de la información para evaluarcuál es la más crítica, con el fin de dotarla de los mayores controles”, refiere Octavio Amador, director de servicios de consultoría de Symantec.
Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué eslo prioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. “En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientescomo para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados”, afirma Francisco Puente, CEO de GCP Global.
¿Cómo identificar esto? Una alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o sus contraseñas. “La manera común es aplicar pruebas y ver cómo ejecutan los procedimientos, pero hay otras opciones para llegar realmente alfondo de su cultura de protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver cuál es su reacción”, indica Puente.
A su vez, Zamora comenta que incluso se debería analizar qué tan relevante es en las actividades diarias de los empleados el tema de seguridad. De hecho, “eso tendría que ser parte de la evaluación del desempeño del personal”.
Más aún, agrega,...
Julio 5, 2009 por
Hoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. He aquí las 10 más importantes.
Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandanproactividad, alineación con el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.
Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.
Cuáles de esas best practices implementar dependerá de las necesidades de cada organización,sin embargo, consultores, analistas y proveedores expertos conforman, para b:Secure, el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad.
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizarcuáles son los objetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
“Si se quieren colocar controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los sistemas relevantes; se corre el riesgo de perder elrumbo”, advierte Ricardo Lira, gerente de CARE de Ernst and Young.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar “las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa”, sugiere Carlos Zamora presidente de ISACA(Asociación de Auditoría y Control de Sistemas de Información)
Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir “qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia”, precisa Zamora.
Por último, “viene bien hacer una clasificación de la información para evaluarcuál es la más crítica, con el fin de dotarla de los mayores controles”, refiere Octavio Amador, director de servicios de consultoría de Symantec.
Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué eslo prioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. “En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientescomo para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados”, afirma Francisco Puente, CEO de GCP Global.
¿Cómo identificar esto? Una alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o sus contraseñas. “La manera común es aplicar pruebas y ver cómo ejecutan los procedimientos, pero hay otras opciones para llegar realmente alfondo de su cultura de protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver cuál es su reacción”, indica Puente.
A su vez, Zamora comenta que incluso se debería analizar qué tan relevante es en las actividades diarias de los empleados el tema de seguridad. De hecho, “eso tendría que ser parte de la evaluación del desempeño del personal”.
Más aún, agrega,...
Leer documento completo
Regístrate para leer el documento completo.