Bienvenidos

Hola , en este blog podran encontrar información relacionada con los Sistemas de información , lo importante que son hoy en dia , y su uso en algunas empresas.

viernes, 11 de febrero de 2011

Plan de Seguridad de los Sistemas de Información:Los 6 puntos claves

El sistema de información es una parte muy vulnerable de la empresa, la necesidad de protegerlo a ido en aumento acorde con el auge y la democratización de las redes,  la generalización del protocolo IP, del correo electrónico y más recientemente del comercio electrónico. Hoy en día la mobilidad y las redes sociales hacen que la seguridad de la información este cada día más comprometida.
  • ¿Cuales son las medidas que tenemos que adoptar para protegerla?
  • ¿Estas medidas son solo de ámbito técnico o tenemos que tener en cuenta el factor humano?
Intentaré contestar estos dos punto en este artículo.

1 – Cuidar el ser humano y la cultura de empresa.

Unos estudios recientes indican que el 96% de los ataques sociales tienen éxito, esto significa que los empleados son el eslabón débil de la cadena de seguridad y el principal vector de contaminación del sistema de información. Es indispensable hacerles tomar consciencia del papel fundamental que juegan en el dispositivo de seguridad. Es muy importante que se den cuenta de la importancia de las contraseñas y de la necesidad, que tiene la empresa, de adoptar una política de seguridad idónea y adaptada a los activos que tiene que proteger. Un punto de partido para estas dos premisas es el uso de una base da autenticación común (Single Sign On) en la cual identificadores genéricos como root o administrador no tengan cabida.
Si la fase de formación se lleva de manera adecuada y la política de seguridad adoptada es coherente y se explica bien entonces los usuarios aceptaran más fácilmente una política del “meno privilegio” que consiste en que en un primer tiempo se limite al máximo los privilegios concedidos para poco a poco, en función de las necesidades, volver a dar permisos. Una auditoría regular de los derechos concedidos  permitirá adaptarlos a las nuevas necesidades o responsabilidades. Este punto es muy importante para no frenar el normal funcionamiento de la actividad empresarial. No se debe favorecer a ninguno de los trabajadores de la empresa, esto es especialmente válido para el personal del departamento de informática y para la dirección. estos dos perfiles no deben poder saltarse las reglas impuestas al resto del personal.
Es evidente que la política de seguridad debe adaptarse a la cultura de la empresa para evitar el efecto contrario: reglas demasiado estrictas que lleven a los usuarios a saltárselas. Unos procedimientos estrictos podrían tener cabida en el mundo bancario mientras que una startup deberá probablemente dejar más libertad a sus empleados.
Hay que tener siempre en mente que el empleado es el elemento central de la política de seguridad de los sistemas de información. Para que dicha política tenga éxito el empleado debe de estar implicado en ella y compartirla.

2 – Definir claramente el dispositivo de seguridad.

¿Quién es responsable de qué en cada tipo de incidente de seguridad?
Es una sencilla pregunta pero la respuesta que cada una de las empresas le da dice mucho sobre el nivel de madurez de estas. El gerente de la seguridad debe participar en la redacción inicial del compromiso de seguridad que deberá ser aprobado por la gerencia. Es importante que desde gerencia hasta al último becario de la empresa todos sepan cual es su rol en caso de incidente de seguridad y que si este ocurre sepan interpretar ese papel sin ningún tipo de dudas.

3 – Implicar a los desarrolladores.

Los desarrolladores pueden comprometer a su empresa de manera involuntaria. Se les debe sensibilizar al riesgo que representan las vulnerabilidades que puedan introducir en el código, sobre todo deberían estar conocer las últimas amenazas publicadas en el OWASP Top 10 . Mi experiencia personal me incita a recomendar que nunca se deberían escribir funciones de autentificación o bien de encriptación, más vale confiar en las librerías conocidas y probadas. Además la transición de cualquier funcionalidad desde el entorno de desarrollo hacia el de producción necesita de una “escotilla”. El equipo de desarrollo no deberá nunca poder acceso en escritura en el entorno de producción. Esta etapa servirá para tratar con esmero el tema de la confidencialidad de los datos. Una recomendación interesante es la de insertar algunas entradas trampa en las bases de datos, estas permitirán detectar de manera inmediata el robo de información. Es el principio de los billetes de banco marcados con tinta invisible, los piratas no podrán hacer la diferencia entre estos registros trampa y los buenos, la empresa sabrá de manera inmediata que ha sido víctima de una infracción.

4 – Adelantarse a las pérdidas de datos y de aplicaciones.

Antes de llegar a este punto hay que empezar por identificar las aplicaciones y los datos sensibles, conocer los propietarios de dichos activos, conocer los tiempos de RTO (Return to Operation)  y el RPO (Recovery Point Objective) de cada una delas aplicaciones críticas y hacer un test de recuperación de backup. Tendremos que encontrar soluciones alternativas si los tiempos de restauración son incompatibles con las necesidades del negocio
Si algunos programas, datos o prestaciones esenciales son externalizadas tenemos que comprobar los SLA (service Level Agreement) que nuestra empresa tiene firmada con proveedores.
La prevención pasa también por una gestión eficaz de los parches de seguridad por medio de una vigilancia tecnológica activa.
Para finalizar la empresa debería auditar los perímetros sensibles de su sistema de información y realizar un test de intrusión cuando realiza algún tipo de evolución del sistema de información

5 – Vigilar la red

Las intrusiones de las que pueda ser víctima una empresa son casi siempre remotas es decir a través de la red. Vigilando de manera constante esta capa del sistema de información y reduciendo al máximo los accesos externos conseguimos reducir al máximo los riesgos de intrusión.
La protección perimétrica del sistema de información no se debe limitar  a un corta fuegos de entrada. El análisis de los flujos de salida permite detectar los túneles (SSH, HTTPS o DNA) instalados por los empleados para saltarse los controles implantados

6 – Controlar el flujo de información obtenido.

Es totalmente imposible pilotar la seguridad del sistema de información en la oscuridad. Tenemos que crear un cuadro de mandos, documento sintético de control que nos servirá para controlar la mejora continua del nivel de servicio propuesto.
Para los administradores de sistema es importante desplegar una consola que  centralice los logs de los servidores y de las aplicaciones. Es importante anticiparse a la detección de falsos positivos sino con el tiempo las veraderas alertas no servirán para nada porque nadie las tomará en serio

Fuente:http://www.blaunia.com/seguridad/seguridad-logica/plan-de-seguridad-de-los-sistemas-de-informacion-los-6-puntos-claves/
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)