| | |
REDESII | | |
Las Fases de la Administración de Riesgos
de Seguridad
En la actualidad, la administración de riesgos de seguridad combina las distintas fases de la seguridad
de la red: evaluación,
planeación, implementación y monitoreo. El objetivo de este método nuevo y completo es generar evaluaciones
orientadas a
la administración, además de recomendaciones que puedan integrarse en la filosofía, las metas y los
objetivos comerciales
generales de una compañía.
Evaluación
La evaluación es el proceso mediante el cual se identifican las vulnerabilidades de seguridad de la
red. No existe ningún
modelo definitivo para la evaluación de riesgos. Algunas compañías se basan en gran medida en metodologías
y cálculos,
mientras que otras utilizan un enfoque más cualitativo basado en preguntas y respuestas. En todos los
modelos de
evaluación, la incertidumbre es un factor bien asumido. Comience su evaluación con los pasos enumerados
a
continuación.
-
Establezca un objetivo. Antes de iniciar una evaluación, los directores generales y los jefes
de sistemas
deben definir los motivos que les llevan a implementar una administración de riesgos. Para muchas
compañías, esta administración de riesgos constituye una ampliación de su declaración de objetivos.
Por
ejemplo, si una compañía tiene como prioridad ofrecer un buen servicio al cliente, el objetivo principal
de la
administración de riesgos será evitar peligros que puedan provocar una interrupción del servicio. A
pesar de
que estas declaraciones de objetivos tendrán formas diferentes en función de la compañía, existe una
finalidad común y definitiva detrás de cualquier sistema de administración de riesgos: favorecer el
aumento de
rentabilidad de la compañía.
-
Cree un inventario de sistemas y activos críticos. Enumere todos los elementos de la red que
necesiten
protección, incluidos los datos confidenciales, los contenidos, las contraseñas, los servicios, etc.
Si la
reputación y la base de clientes de una compañía están íntimamente ligados a la red, también deben
considerarse activos de la red. Su inventario debe abarcar todos los sistemas, servicios y componentes.
-
Resuma los tipos de peligros. En términos generales, identifique las personas o los elementos
que pueden
usar la red para causar daños en los activos de su compañía, incluidos los hackers, los virus, los empleados
descontentos, los errores involuntarios, los fallos del sistema, etc.
-
Identifique las vulnerabilidades de su red. Utilice un método no dañino y no disruptivo de encontrar
las
formas en que los peligros pueden tener acceso a sus activos. Resalte las áreas que están especialmente
expuestas a los peligros. Los puntos de entrada de la red, las aplicaciones disponibles y los servidores
son
posiblemente los más vulnerables. Las redes de cadena de suministro a las que tienen acceso los distintos
fabricantes tienen más puntos de entrada, lo que multiplica las vulnerabilidades de la red.
-
Cuantifique el valor de los distintos riesgos. Dado que es imposible disponer de una protección
total
contra todos los peligros, el departamento de sistemas debe identificar los activos y vulnerabilidades
más
críticos. La cuantificación de los riesgos de la red en función de cómo afectan a la rentabilidad de
la empresa
ayudará al departamento de sistemas a asignar prioridades a los tiempos y recursos dedicados a cada
aspecto.
Existe una ecuación básica para el cálculo de los riesgos: Riesgo = Activos x Peligros x Vulnerabilidades.
Para asignar valoraciones efectivas a los activos y los riesgos de la red, el departamento comercial
y el de
sistemas deben trabajar conjuntamente.
Planeación
La fase de planeación se basa en la fase de evaluación y tiene como fin diseñar normas para el establecimiento
de
medidas de seguridad, contando con la forma en que estas medidas influyen en riesgos concretos y teniendo
en cuenta su
compatibilidad con los objetivos comerciales generales. Existen dos factores que ayudan a determinar
el éxito que puede
obtenerse al planear la administración de riesgos: aceptación por parte de los directivos de alto rango
y divulgación clara
entre los departamentos.
-
Desarrolle normas. Si no se dispone de normas de seguridad claras, incluso las soluciones de seguridad
más
eficaces pueden resultar inútiles. En estas normas debe definirse cómo, por qué, cuándo y por parte
de quién
se realizan los procedimientos de seguridad.
-
Establezca un proceso de revisión / auditoria de seguridad. Las revisiones periódicas permitirán que
los
directores de sistemas y de otros departamentos conozcan la eficacia de la estrategia de seguridad.
Sin
embargo, para que el departamento de sistemas pueda realizar las auditorias, los directivos necesitan
encontrar una forma de responder a preguntas como las siguientes: ¿Quién realizará la revisión? ¿Se
realizará
el proceso dentro de la compañía? ¿Se contratará con otra compañía? ¿Qué métodos se utilizarán para
analizar los datos de seguridad? ¿Qué partes revisarán los datos? ¿Quién determinará si es necesario
hacer
alguna reforma en el sistema de seguridad?
-
Establezca procedimientos técnicos adecuados. El departamento de sistemas debe preguntar y responder
a
una serie de preguntas de tipo "qué ocurriría si", partiendo de situaciones tecnológicas potencialmente
peligrosas.
-
En el caso de las violaciones de seguridad: Determine qué procedimiento deben seguir los usuarios y
el propio departamento de sistemas en caso de un ataque de hacker, un virus u otro tipo de violación
de seguridad. ¿Con quién deben hablar los usuarios si detectan un virus? ¿Bajo qué circunstancias
debe cerrar el departamento de sistemas el servidor de correo electrónico o la red de la
corporación? ¿Cómo enviará el departamento de sistemas las advertencias y la información de
emergencia a los usuarios?
-
En caso de cambios en la configuración de la red: Asigne una persona concreta como responsable
de la realización de cambios en la configuración de la red. Determine por qué y cuándo debe hacer
esta persona dichos cambios.
-
En el caso de la implementación de nuevas aplicaciones: ¿Existe un procedimiento de comprobación
de las nuevas aplicaciones antes de su implementación? ¿Quién es responsable de la conversión de
los datos? ¿Qué pasos se siguen para integrar las nuevas aplicaciones con los usuarios?
-
Seleccione un equipo de respuesta de incidentes y diseñe un plan de contingencia. Los miembros del equipo
de respuesta ante incidentes deben tener responsabilidades predefinidas para las situaciones de emergencia.
Designe un jefe para el equipo de respuesta ante incidentes y redacte normas operativas para el equipo.
El desarrollo de un plan de contingencia sólido es un arte en sí mismo. Es uno de los componentes esenciales
de cualquier solución de administración de riesgos. Los planes de contingencia para la red en su totalidad
se
diseñan para responder a problemas a gran escala, como provisiones de servidores de respaldo, aumento
del personal y de los recursos asignados a consultores expertos, servicios para fabricantes y relaciones.
Implementación
Los directores de sistemas deben equiparar los productos de seguridad de la red que utilizan, como firewalls,
antivirus y
sistemas de filtrado de contenidos de correo electrónico y de Internet, con las necesidades específicas
de su red. No
todas las aplicaciones son adecuadas para todas las redes. Basándose en el resultado de la evaluación
de administración
de seguridad, el departamento de sistemas debe elegir las aplicaciones de seguridad que mejor se adapten
a las
necesidades concretas de su compañía en cuanto a seguridad, además de responder a las necesidades de
seguridad de
los usuarios finales.
En colaboración con los directores de los departamentos o con el departamento de recursos humanos, el
departamento
de sistemas también debe determinar los distintos niveles de seguridad que se otorgarán a los distintos
usuarios. Un
miembro del equipo de sistemas debe ser responsable de la configuración de los niveles de seguridad
de las distintas
aplicaciones. El departamento de sistemas y los directivos deben desarrollar también una norma acerca
de la concesión
de permisos de seguridad concretos a los usuarios.
Monitoreo
La administración de seguridad es un proceso continuo que no termina con la implementación de un sistema
de seguridad. Al
monitorear constantemente la red, el departamento de sistemas puede determinar qué aplicaciones de seguridad
funcionan
con éxito, qué áreas deben mejorarse y cómo afectan los cambios de la red a la seguridad global.
|