El escenario actual de los Sistemas de Información presenta una problemática y unos retos en materia de seguridad distintos de los que tenían los Sistemas de Información centralizados con acceso limitado (mainframe) de hace 15 o 20 años. La complejidad tecnológica existente plantea la compatibilidad e interoperabilidad entre herramientas para minimizar los problemas de gestión, el aumento del volumen de información, las transacciones y accesos que se deben securizar, así como el constante incremento de los riesgos de seguridad de las redes.
Las Organizaciones ven hoy la seguridad de sus activos tecnológicos como un requerimiento imprescindible para mantenerse en el negocio. La seguridad, no obstante, no debe verse como la implantación de unos Sistemas novedosos más o menos complejos, para solventar un problema puntual, sino como un proceso más general de mejora continua, donde se busque la continuidad del negocio y que debe cubrir todas las áreas y departamentos de una Organización. Es necesario disponer de mecanismos que permitan evaluar las soluciones implantadas en su conjunto y determinar el nivel de seguridad alcanzado, ya sea para saber si se está en un nivel de seguridad adecuado o bien si se está degradando el nivel de seguridad con el paso del tiempo. Esta evaluación continuada permitirá actuar de manera proactiva respecto a la seguridad, siendo conscientes del nivel adquirido y el nivel deseado, siempre desde un punto de vista de un proceso continuado. La mera implantación de herramientas con configuraciones estáticas conducirá al deterioro progresivo de la seguridad, aumentando la diferencia entre el riesgo percibido y el riesgo real. A la inversa, la mera existencia de políticas, controles y revisiones de auditoria no son efectivas si no van acompañadas de herramientas y medidas técnicas que permitan respuestas rápidas y automatizadas y a condiciones de vulnerabilidad en permanente evolución.
La seguridad es un proceso, no un producto.
Las políticas corporativas mencionadas anteriormente son también necesarias y éstas deben ser globales, de forma que afecten e impliquen a toda la Organización y que, sobre todo, cuenten con el respaldo de la Dirección. Estas políticas deben desencadenar el desarrollo y la definición de unos procesos y procedimientos basados en metodologías de trabajo, con la implantación de controles organizativos y con el establecimiento de procesos de medición y auditorias para verificar y controlar la implantación de las políticas.
Por concluir: la búsqueda de una solución global que permita la gestión de forma continuada de la seguridad de los Sistemas de Información no es una tarea fácil. Resulta difícil decir cual será la mejor solución o producto global, puesto que las necesidades de las organizaciones pueden ser completamente distintas unas de las otras. Sin embargo, para una correcta coordinación entre las diferentes áreas de actuación comentadas, se deberá considerar como claves los siguientes aspectos:
1.- Coherencia y Equilibrio técnico y funcional: mediante la integración tecnológica y la compatibilidad de las distintas herramientas, así como el uso de estándares y soluciones abiertas frente a plataformas propietarias. Esta coherencia debe ser tanto a nivel tecnológico como funcional, dando soporte a los procedimientos, políticas, controles y auditorias que permita unificar criterios.
2.- Escalabilidad/Disponibilidad: que garantice el rendimiento ante anchos de banda crecientes, que permita el crecimiento e implantación de nuevos módulos, re-usabilidad de componentes y facilidad de gestión y monitorización.
Autor: Joan Ayerbe - blog.s21sec.com
No hay comentarios:
Publicar un comentario