viernes, 29 de julio de 2011

Los 10 mandamientos de la seguridad

La resonancia alcanzada por el caso Wikileaks y las recientes intrusiones a bases de datos de prestigiosas empresas como Sony, han ubicado al tema de la fuga de información entre los más discutidos y controversiales. Si bien no se trata de una problemática nueva, su creciente difusión ha permitido a las empresas tomar mayor conciencia sobre el valor de su información y la importancia de la privacidad y confidencialidad de la misma.

Con el primordial objetivo de contribuir con la educación e información, los especialistas de ESET han elaborado los 10 mandamientos de la seguridad corporativa. Éstos son los principios básicos que deben regir la protección de la información en las empresas:
 
  • 1. Definirás una política de seguridad.
  • 2. Utilizarás tecnologías de seguridad.
  • 3. Educarás a tus usuarios.
  • 4. Controlarás el acceso físico a la información.
  • 5. Actualizarás tu software.
  • 6. No utilizarás a IT como tu equipo de Seguridad Informática.
  • 7. No usarás usuarios administrativos.
  • 8. No invertirás dinero en seguridad sin un plan adecuado.
  • 9. No terminarás un proyecto en seguridad.
  • 10. No subestimarás a la seguridad de la información.

Visto en cnnexpansion.com



* Definirás una política de seguridad: es el documento que rige toda la seguridad de la información en la compañía. ¿Algunos consejos? Que no sea muy extensa (ningún empleado podrá comprometerse con un documento de cincuenta páginas), que sea realista (pedirle a los empleados cosas posibles, ya que sino perderán credibilidad) y que se les de valor (otra recomendación: que las mismas sean entregadas a los empleados por los altos cargos o el departamento de Recursos Humanos, en lugar del soporte técnico de IT).

* Utilizarás tecnologías de seguridad: son la base de la seguridad de la información en la empresa. Una red que no cuente con protección antivirus, un firewall o una herramienta antispam; estará demasiado expuesta como para cubrir la protección con otros controles. Según lo presentado en el ESET Security Report Latinoamérica, el 38% de las empresas de la región se infectaron con malware el último año.

* Educarás a tus usuarios: …y comenzando por la aclaración: educarás a todos tus usuarios. Los usuarios técnicos o del departamento de IT suelen ser omitidos en este tipo de iniciativas, como si estuviera comprobado que están menos expuestos a las amenazas informáticas. Según las estadísticas de ThreatSense.Net,
el 45% de las amenazas detectadas en la región utilizan Ingeniería Social, por lo que atentan contra el desconocimiento del usuario para infectarlo.

* Controlarás el acceso físico a la información: la seguridad de la información no es un problema que deba abarcar sólo la información “virtual”, sino también los soportes físicos donde esta es almacenada. ¿Dónde están los servidores? ¿Quién tiene acceso a estos? Sin lugar a dudas, el acceso físico es fundamental. También deben se considerados en este aspecto los datos impresos, como por ejemplo el acceso físico a oficinas con información confidencial (el gerente, el contador, etc.); o el acceso a las impresoras (¿alguien podría tomar “accidentalmente” información confidencial?).

* Actualizarás tu software: las vulnerabilidades de software son la puerta de acceso a muchos ataques que atentan contra la organización. Según el informe sobre el estado del malware en Latinoamérica, el 41% de los dispositivos USB están infectados y el 17% del malware utilizan explotación de vulnerabilidades. Mantener tanto el sistema operativo como el resto de las aplicaciones con los últimos parches de seguridad, es una medida de seguridad indispensable.

* No utilizarás a IT como tu equipo de Seguridad Informática: es uno de los errores más frecuentes, y omiten la importancia de entender que la seguridad, no es un problema meramente tecnológico. Además, es importante que exista un área cuyo único objetivo sea la seguridad de la información, y esta no pueda ser relegada por otros objetivos asociados a la usabilidad, como por ejemplo la instalación y puesta a punto de determinado servicio, según las necesidades comerciales.

* No usarás usuarios administrativos: de esta forma, una intrusión al sistema estará limitada en cuánto al daño que pueda causar en el mismo. Una vez más, vale destacar la importancia de aplicar este control para toda la empresa: los integrantes del departamento de IT o la alta gerencia, también deben utilizar permisos limitados en el uso diario de la computadora.

* No invertirás dinero en seguridad, ¡sin pensar!: la seguridad deben ser concebida para proteger la información y, por ende, el negocio. Hacer inversiones en seguridad, sin medir el valor de la información que se está protegiendo, y la probabilidad de pérdidas por incidentes; puede derivar en dinero mal invertido, o básicamente en dinero perdido. La seguridad debe proteger la información, el valor de esta y, como se dijo, el negocio. Para ello, es importante calcular… ¡y pensar!

* No terminarás un proyecto en seguridad: se que parece extraña, pero no lo es, porque… ¡tampoco empezarás un proyecto! La seguridad debe ser concebida como un proceso continuo, no termina. Es cierto que pequeñas implementaciones de los controles pueden necesitar de proyectos, pero la protección general de la información no puede ser pensada como un proyecto, sino como una etapa de mejora continúa, como una necesidad permanente del negocio.

* No subestimarás a la seguridad de la información: finalmente, entender el valor que asigna al negocio tener la información protegida, es nuestro último y quizás más importante mandamiento. Pensar que un control no debe implementarse, porque “no creo que esto me ocurra”, es uno de los peores errores que un ejecutivo puede cometer y, en caso de que ocurra, serán muchos los que deban arrepentirse: muchas empresas, especialmente las pequeñas y medianas, no pueden recuperarse de un incidente de gravedad contra la seguridad de la información.


Por Sebastián Bortnik
Coordinador de Awareness & Research de ESET LA



 



3 comentarios:

Ivan Sira dijo...
Este comentario ha sido eliminado por el autor.
Ivan Sira dijo...

Hola, no comprendo el numero 9, me lo podrías aclarar?

Anónimo dijo...

Se incorporo al post un mayor detalle de los autores (ESET)

saludos

cryptex