Con mucha frecuencia, las empresas de tamaño mediano se centran estrictamente en la tecnología y descuidan los pasos necesarios para administrar el entorno de TI en caso de crisis. Si se toma el tiempo para entender los procesos, procedimientos y flujos de trabajo de la empresa, estará en mejor situación para proporcionar la seguridad de TI que la organización necesita.
En resumen:
• | Lleve a cabo una exhaustiva valoración de los activos, procesos, flujos de trabajo y funciones de la empresa. |
• | Establezca prioridades entre los activos y encuentre las soluciones y directivas de seguridad más adecuadas a cada nivel de riesgo. |
• | Intente conseguir comentarios del personal y desarrolle un enfoque común. |
Del mismo modo que las amenazas de seguridad difieren entre las organizaciones, deben distinguirse las estrategias. Una empresa que lleva a cabo todos sus negocios en línea o cuenta con un alto porcentaje de trabajadores móviles, tendrá necesidades de seguridad distintas a las de una cadena, por ejemplo. La cultura empresarial también puede dictar el modo en que se implementan las soluciones de seguridad.
Un análisis exhaustivo y franco, que se ajuste a su plan de negocio, puede ayudarle a asentar las bases de una estrategia de seguridad efectiva y rentable.
Sus necesidades, por supuesto, dependerán de su negocio. La pérdida de mensajes de correo electrónico importantes puede poner en peligro el trabajo de un gabinete jurídico y minar las relaciones con sus clientes, por ejemplo; para una empresa de asistencia sanitaria, la exposición de uno solo de los historiales médicos puede traer mala prensa y acarrear a graves multas según la normativa regional o nacional. Es importante reconocer el nivel de riesgo aceptable para la empresa, lo que fuerza a identificar sus áreas fundamentales.
Identificar activos físicos
El primer paso, y puede que el más sencillo, del análisis de seguridad es la identificación de los activos de TI de la empresa, entre los que se incluyen activos físicos como equipos y dispositivos de almacenamiento portátiles. Una vez que sepa qué debe proteger, podrá recomendar las soluciones y procesos adecuados, como la configuración de sistemas y redes, la administración de revisiones y las rutas de actualización de software y hardware.
Valorar los procesos empresariales
Lo siguiente será analizar los procesos empresariales con la seguridad en mente. "Una organización debe saber dónde se conserva su información, cómo la almacena el personal, y cómo se intercambia interna y externamente", comenta Michael Cobb, director administrativo de Cobweb Applications Ltd., una consultora con sede en Surrey, Inglaterra, y MPV (Most Valuable Professional) de Microsoft. Por ejemplo, el personal debe emplear aplicaciones con poca seguridad, como la mensajería instantánea, para intercambiar archivos con otras personas dentro y fuera de la empresa, o pueden almacenar datos privados en equipos portátiles sin cifrarlos. Tales actividades exigen nuevas directivas del departamento de TI, de modo que el personal no comprometa sin darse cuenta la información confidencial de la empresa.
Una valoración honesta de los procesos fundamentales, con comentarios de equipos con varias funciones, ayuda a identificar las debilidades y fallos potenciales. Puede que, al revisar el procedimiento de despido de la empresa, descubra que no existe un mecanismo para garantizar que un directivo o el director de recursos humanos envíe formularios para revocar el acceso al sistema y los privilegios de correo electrónico. Si hace obligatorio este procedimiento y crea el flujo de trabajo adecuado, será posible eliminar días, semanas o meses de acceso no autorizado.
Clasificar las necesidades de seguridad según su importancia
Después de finalizar el análisis de los procesos empresariales y efectuar los cambios necesarios, llega el momento de establecer prioridades entre las necesidades de seguridad. Un sistema básico de clasificación numérica del 1 al 3 (bajo, medio y alto) debería marcar el punto de partida para determinar los sistemas y activos más importantes. Califique el impacto de los acontecimientos derivados de una infracción de seguridad (como el tiempo de inactividad de la red o lso costes financieros) en una escala de tres puntos. La matriz resultante debería ofrecer una visión de qué es prioritario.
Más maneras de desarrollar un plan que marque la diferencia
• | Céntrese en los acontecimientos, no en el calendario. Aunque normalmente es aconsejable desarrollar un plan detallado para la seguridad de TI para uno, dos o cinco años, hay que tener en cuenta que las necesidades de seguridad cambian continuamente. "Constantemente emergen nuevas tecnologías y nuevas amenazas", apunta Cobb. Por tanto, debe centrarse en las directivas y procedimientos que maximizan la flexibilidad y la responsabilidad, y revisar el plan regularmente. |
• | Defina las responsabilidades de seguridad dentro de la organización. Debe incluirlas en las descripciones de los puestos para convertir la administración de la seguridad en una realidad. Por ejemplo, un administrador de ventas puede tener que llevar un PC portátil con registros sobre clientes u otra información confidencial. Ese individuo debería ser responsable de la protección de esos datos, mediante su cifrado, autenticación u otros métodos. |
• | Diseñe una serie de pasos que deban seguirse durante un incidente de seguridad. Este hecho puede ayudar a evitar que cunda el pánico entre el personal. Después de cualquier incidente, concierte una reunión con los directivos y con los miembros clave del equipo de seguridad para hablar de lo que funcionó y lo que no. |
• | Busque la solución adecuada para cada riesgo. Céntrese primero en las áreas con mayor riesgo empresarial. Para una institución financiera, por ejemplo, las herramientas que exploran los datos salientes para ciertas cadenas numéricas, como los números de cuenta o de la Seguridad Social, podrían encabezar la lista. Para el funcionamiento de un centro de llamadas, las aplicaciones que bloquean los archivos adjuntos a los correos electrónicos entrantes pueden evitar que el malware cierre operaciones decisivas. |
• | Desarrolle un enfoque de seguridad flexible a la vez que aplicable. Esto quiere decir que cualquier directiva y tecnología no debería influir de forma negativa en la productividad. Por ejemplo, puede que deba permitir que ciertos empleados usen dispositivos de memoria flash portátiles, lo que acarrea un riesgo de seguridad. El departamento de TI debe garantizar que esos empleados cuentan con acceso sólo a la información correspondiente a su puesto de trabajo, según la definición de sus jefes. Alcanzar el equilibrio entre la practicidad y la seguridad es un asunto delicado, especialmente a medida que la empresa crece y su infraestructura de TI se hace más compleja. Las tecnologías como Microsoft Windows Server 2003 Active Directory pueden ayudar a administrar las funciones y responsabilidades. |
• | Finalmente, controle los sistemas y archivos de registro con regularidad. Esto ayuda a identificar problemas potenciales y a responder a los cambios rápida y eficientemente. |
