Este artículo propone seis recomendaciones que toda compañía debería tener en cuenta para mejorar su seguridad informática. La lista no pretende enumerar los primeros pasos a seguir para enfrentar situaciones críticas, sino sugerir determinadas acciones que hacen a la rutina relacionada con el cuidado de la seguridad.
Conviértase en experto o busque la ayuda de expertos
En términos de experiencia en seguridad, existen dos opciones:
• Contratar a un experto en seguridad (”recurra a un pescador”)
• Educarse para convertirse en experto en seguridad (“aprenda a pescar”)
Ambas opciones tienen sus puntos a favor y en contra. Si bien contratar a un experto puede resultar caro, se trata de un gasto único. Y el sistema de seguridad que un experto puede diseñar e implementar en su empresa la mantendrá a salvo durante un tiempo prolongado.
Por otra parte, convertirse en un experto toma tiempo y exige un compromiso personal elevado cuando se quiere cumplir con ciertas metas, por ejemplo obtener una certificación CISSP. Pero una vez adquirido ese conocimiento, usted puede aplicarlo a lo largo de toda su carrera.
Yo recomiendo que, si usted no es experto en seguridad, contrate a uno que analice su infraestructura, elabore un análisis de riesgos y sugiera la implementación de distintos controles de seguridad. La mayoría de los administradores y ejecutivos ignora con qué bienes informáticos cuentan, cuáles valen la pena o cómo protegerlos. Un experto en seguridad independiente puede proveer esta información de una manera muy eficiente.
Existen distintos criterios que rigen la contratación al experto apropiado.
Yo recomiendo que, si usted no es experto en seguridad, contrate a uno que analice su infraestructura, elabore un análisis de riesgos y sugiera la implementación de distintos controles de seguridad. La mayoría de los administradores y ejecutivos ignora con qué bienes informáticos cuentan, cuáles valen la pena o cómo protegerlos. Un experto en seguridad independiente puede proveer esta información de una manera muy eficiente.
Existen distintos criterios que rigen la contratación al experto apropiado.
A continuación figuran algunas preguntas que usted debería hacerle a un posible candidato antes de contratarlo:
• ¿Tiene experiencia con el sistema operativo que utiliza mi empresa? Por ejemplo, en caso de utilizar software Microsoft de manera extensiva, ¿posee certificaciones Microsoft en seguridad?
• ¿Maneja certificaciones de seguridad estándares, por ejemplo la certificación CISSP?
• ¿Cuántos años trabajó como especialista en seguridad informática? Usted querrá contratar a alguien con experiencia práctica.
Además, como cada vez que decide contratar algún servicio, solicite un curriculum vitae o una lista de antecedentes laborales y verifique los datos allí vertidos. De esta manera usted podrá estar seguro de que está contratando a alguien capaz de realizar un buen trabajo y de proteger los secretos de la organización que usted gerencia.
• ¿Maneja certificaciones de seguridad estándares, por ejemplo la certificación CISSP?
• ¿Cuántos años trabajó como especialista en seguridad informática? Usted querrá contratar a alguien con experiencia práctica.
Además, como cada vez que decide contratar algún servicio, solicite un curriculum vitae o una lista de antecedentes laborales y verifique los datos allí vertidos. De esta manera usted podrá estar seguro de que está contratando a alguien capaz de realizar un buen trabajo y de proteger los secretos de la organización que usted gerencia.
Entienda su negocio
Proteger lo que uno no comprende es una tarea complicada. Por ejemplo, usted puede poseer sólidos conocimientos sobre seguridad y obtener un trabajo que le exige administrar los bienes TI de un bufete de abogados. Para cumplir con sus tareas, debe estar al tanto de cierta información, por ejemplo:
• Qué información es valiosa para la compañía
• Qué documentos se encuentran protegidos por la relación abogado-cliente
• Qué regulaciones gubernamentales y/o corporativas se aplican a la infraestructura TI de la corporación .
Es necesario conocer bien el negocio antes de poner en marcha cualquier cambio de seguridad. Posiblemente existan controles de seguridad que responden a razones específicas: contractuales, legales o regulatorias. La única manera de comprender el funcionamiento de la infraestructura existente, y de tomar las decisiones apropiadas sobre posibles cambios, es estar familiarizado con los “qué” y los “por qué” de las cuestiones TI y comerciales.
Catalogue sus bienes
Estoy seguro de que usted no conoce todos los bienes informáticos que posee su compañía. Suele suceder. Su empresa incorpora computadoras y dispositivos con asiduidad, en general sin que el departamento TI lo sepa o lo permita. Por ejemplo, es habitual que un empleado lleve su laptop personal al trabajo y que la conecte a la red corporativa. A menudo esa misma persona utiliza una red inalámbrica en su laptop y, si la compañía no usa wireless, el empleado en cuestión instala su propio router inalámbrico. En cambos casos, pone en riesgo la seguridad de la compañía porque se trata de entidades que carecen de la debida autorización y los debidos controles de la red corporativa.
Crear un catálogo informático completo es la mejor manera de detectar riesgos potenciales como éstos. Se utiliza una combinación de herramientas físicas y lógicas capaces de identificar todo lo que se encuentra conectado a la red corporativa. La tarea de catalogar puede automatizarse en gran parte, con herramientas de monitoreo. Por ejemplo Microsoft System Center Configuration Manager (antes conocida como SMS), herramienta basada en agente que exige la instalación de software en cada computadora analizada y que no puede monitorear algunos tipos de dispositivos adjuntos. Existen herramientas que no se encuentran basadas en agentes; esto significa que no exigen la instalación de software en las computadoras analizadas y que, en general, pueden detectar cualquier dispositivo adjunto. Mientras las herramientas basadas en agentes brindan información mucho más rica sobre la configuración del sistema y además permiten administrar la seguridad de esos sistemas, las herramientas no basadas en agentes identifican mejor qué hay en la red.
Bloquee los escritorios
Los usuarios no violan la seguridad de manera intencional, pero suelen generar riesgos de manera involuntaria. Instalan juegos que sus amigos les envían por correo electrónico; visitan sitios Web inseguros, cambian la configuración del sistema para facilitar su trabajo. Este comportamiento tan común provoca infecciones de malware, filtración de datos o robo de identidades. Por suerte es posible mitigar estos riesgos fácilmente, con sólo bloquear la configuración de las computadoras de escritorio.
Esta precaución se encuentra particularmente bien explicada. Existen distintas referencias y herramientas que permiten bloquear los escritorios de las PCs. Por ejemplo, los administradores de Windows XP pueden recurrir a la Guía de Seguridad de Windows XP, y los administradores de Windows Vista, a la Guía de Seguridad de Windows Vista. . Ambas guías proporcionan distintos niveles de seguridad, en función de necesidades específicas, y pueden instalarse fácilmente en la red. Existen guías similares disponibles en el Centro para la Seguridad de Internet y en el Instituto Nacional de Estándares y Tecnología. No importa la guía que elija; use alguna de las dos como punto de partida y el bloqueo de escritorios se llevará a cabo sin inconvenientes.
Bloquee el perímetro
La defensa a fondo –es decir, desplegar más de una capa protectora contra las distintas variantes de ataque– es un aspecto clave para una seguridad efectiva. La protección de redes más tradicional consiste en la creación de un perímetro y en la instalación de defensas robustas en dicho perímetro, con el objeto de mantener a los atacantes alejados de los sistemas informáticos internos. La instalación de firewalls y servidores proxy es el método habitual aplicado en estos casos. Si usted no posee un firewall entre su red e Internet, instale uno. Aunque no sucede siempre, en general los atacantes suelen retirarse cuando se topan con un firewall.
Muchos expertos en seguridad recomiendan eliminar los firewalls porque –sostienen– los atacantes modernos saben desactivarlos. A veces esto es cierto. Sin embargo, si puede instalar fácilmente y sin costos un firewall que proteja a su red de la mayoría de los ataques, no dude en hacerlo. No debería ser su única defensa, pero es un buen control en el que puede confiar.
Existen distintos proveedores de firewalls. Busque un producto acorde con su presupuesto, de fácil instalación y mantenimiento. Existen soluciones “todo en uno”, que también ejecutan funciones de filtro de spam. Desde ya, conviene invertir en un producto que satisfaga tantas necesidades como pueda.
Establezca planes de contingencia
¿Qué sucede cuando un ataque exitoso le tira abajo sus servidores con bases de datos? ¿O cuando a su Proveedor de Internet lo ataca un gusano que inhabilita la conexión a Internet? Los problemas son inevitables; hay que tratar de que no sucedan porque se ideó el plan de contingencia en mal mometo.
Gracias a sus análisis de riesgo (leer Busque la ayuda de expertos), usted sabe qué bienes informáticos son críticos para su negocio. Empiece por esos bienes y cree planes de contingencia (También conocidos como “planes de continuidad de negocios”) para cuando esos bienes no se encuentren disponibles por alguna razón. La implementación de estos planes suele ser cara, así que realice una planificación cuidadosa para asegurarse de que su presupuesto pueda ajustarse a la mayor cantidad de planes posible. Algunos aspectos de los planes de contingencia pueden ser sencillos y económicos; por ejemplo, ejecutar dos aplicaciones en una misma computadora para cuando una de estas máquinas deje de operar por algún motivo. Pero no importa cuán simple o económico sea su plan: asegúrese de que siempre sirva para enfrentar riesgos ya documentados.
Por Mike Danseglio, Gerente de Programación Senior, Seguridad y Aceleradores de Soluciones de Conformidad, Microsoft Corporation
No hay comentarios:
Publicar un comentario