REDESII

EXPOSICIONES
ADMINISTRACIÓN DE LA SEGURIDAD
ADMINISTRACIÓN DE LA SEGURIDAD

Las Fases de la Administración de Riesgos de Seguridad

En la actualidad, la administración de riesgos de seguridad combina las distintas fases de la seguridad de la red: evaluación, planeación, implementación y monitoreo. El objetivo de este método nuevo y completo es generar evaluaciones orientadas a la administración, además de recomendaciones que puedan integrarse en la filosofía, las metas y los objetivos comerciales generales de una compañía.

Evaluación

La evaluación es el proceso mediante el cual se identifican las vulnerabilidades de seguridad de la red. No existe ningún modelo definitivo para la evaluación de riesgos. Algunas compañías se basan en gran medida en metodologías y cálculos, mientras que otras utilizan un enfoque más cualitativo basado en preguntas y respuestas. En todos los modelos de evaluación, la incertidumbre es un factor bien asumido. Comience su evaluación con los pasos enumerados a continuación.

1. Establezca un objetivo. Antes de iniciar una evaluación, los directores generales y los jefes de sistemas deben definir los motivos que les llevan a implementar una administración de riesgos. Para muchas compañías, esta administración de riesgos constituye una ampliación de su declaración de objetivos. Por ejemplo, si una compañía tiene como prioridad ofrecer un buen servicio al cliente, el objetivo principal de la administración de riesgos será evitar peligros que puedan provocar una interrupción del servicio. A pesar de que estas declaraciones de objetivos tendrán formas diferentes en función de la compañía, existe una finalidad común y definitiva detrás de cualquier sistema de administración de riesgos: favorecer el aumento de rentabilidad de la compañía.
2. Cree un inventario de sistemas y activos críticos. Enumere todos los elementos de la red que necesiten protección, incluidos los datos confidenciales, los contenidos, las contraseñas, los servicios, etc. Si la reputación y la base de clientes de una compañía están íntimamente ligados a la red, también deben considerarse activos de la red. Su inventario debe abarcar todos los sistemas, servicios y componentes.
3. Resuma los tipos de peligros. En términos generales, identifique las personas o los elementos que pueden usar la red para causar daños en los activos de su compañía, incluidos los hackers, los virus, los empleados descontentos, los errores involuntarios, los fallos del sistema, etc.
4. Identifique las vulnerabilidades de su red. Utilice un método no dañino y no disruptivo de encontrar las formas en que los peligros pueden tener acceso a sus activos. Resalte las áreas que están especialmente expuestas a los peligros. Los puntos de entrada de la red, las aplicaciones disponibles y los servidores son posiblemente los más vulnerables. Las redes de cadena de suministro a las que tienen acceso los distintos fabricantes tienen más puntos de entrada, lo que multiplica las vulnerabilidades de la red.
5. Cuantifique el valor de los distintos riesgos. Dado que es imposible disponer de una protección total contra todos los peligros, el departamento de sistemas debe identificar los activos y vulnerabilidades más críticos. La cuantificación de los riesgos de la red en función de cómo afectan a la rentabilidad de la empresa ayudará al departamento de sistemas a asignar prioridades a los tiempos y recursos dedicados a cada aspecto.

Existe una ecuación básica para el cálculo de los riesgos: Riesgo = Activos x Peligros x Vulnerabilidades. Para asignar valoraciones efectivas a los activos y los riesgos de la red, el departamento comercial y el de sistemas deben trabajar conjuntamente.

Planeación

1. Desarrolle normas. Si no se dispone de normas de seguridad claras, incluso las soluciones de seguridad más eficaces pueden resultar inútiles. En estas normas debe definirse cómo, por qué, cuándo y por parte de quién se realizan los procedimientos de seguridad.
2. Establezca un proceso de revisión / auditoria de seguridad. Las revisiones periódicas permitirán que los directores de sistemas y de otros departamentos conozcan la eficacia de la estrategia de seguridad. Sin embargo, para que el departamento de sistemas pueda realizar las auditorias, los directivos necesitan encontrar una forma de responder a preguntas como las siguientes: ¿Quién realizará la revisión? ¿Se realizará el proceso dentro de la compañía? ¿Se contratará con otra compañía? ¿Qué métodos se utilizarán para analizar los datos de seguridad? ¿Qué partes revisarán los datos? ¿Quién determinará si es necesario hacer alguna reforma en el sistema de seguridad?
3. Establezca procedimientos técnicos adecuados. El departamento de sistemas debe preguntar y responder a una serie de preguntas de tipo "qué ocurriría si", partiendo de situaciones tecnológicas potencialmente peligrosas.
   1. En el caso de las violaciones de seguridad: Determine qué procedimiento deben seguir los usuarios y el propio departamento de sistemas en caso de un ataque de hacker, un virus u otro tipo de violación de seguridad. ¿Con quién deben hablar los usuarios si detectan un virus? ¿Bajo qué circunstancias debe cerrar el departamento de sistemas el servidor de correo electrónico o la red de la corporación? ¿Cómo enviará el departamento de sistemas las advertencias y la información de emergencia a los usuarios?
   2. En caso de cambios en la configuración de la red: Asigne una persona concreta como responsable de la realización de cambios en la configuración de la red. Determine por qué y cuándo debe hacer esta persona dichos cambios.
   3. En el caso de la implementación de nuevas aplicaciones: ¿Existe un procedimiento de comprobación de las nuevas aplicaciones antes de su implementación? ¿Quién es responsable de la conversión de los datos? ¿Qué pasos se siguen para integrar las nuevas aplicaciones con los usuarios?
4. Seleccione un equipo de respuesta de incidentes y diseñe un plan de contingencia. Los miembros del equipo de respuesta ante incidentes deben tener responsabilidades predefinidas para las situaciones de emergencia. Designe un jefe para el equipo de respuesta ante incidentes y redacte normas operativas para el equipo.

El desarrollo de un plan de contingencia sólido es un arte en sí mismo. Es uno de los componentes esenciales de cualquier solución de administración de riesgos. Los planes de contingencia para la red en su totalidad se diseñan para responder a problemas a gran escala, como provisiones de servidores de respaldo, aumento del personal y de los recursos asignados a consultores expertos, servicios para fabricantes y relaciones.

Implementación

Los directores de sistemas deben equiparar los productos de seguridad de la red que utilizan, como firewalls, antivirus y sistemas de filtrado de contenidos de correo electrónico y de Internet, con las necesidades específicas de su red. No todas las aplicaciones son adecuadas para todas las redes. Basándose en el resultado de la evaluación de administración de seguridad, el departamento de sistemas debe elegir las aplicaciones de seguridad que mejor se adapten a las necesidades concretas de su compañía en cuanto a seguridad, además de responder a las necesidades de seguridad de los usuarios finales.

En colaboración con los directores de los departamentos o con el departamento de recursos humanos, el departamento de sistemas también debe determinar los distintos niveles de seguridad que se otorgarán a los distintos usuarios. Un miembro del equipo de sistemas debe ser responsable de la configuración de los niveles de seguridad de las distintas aplicaciones. El departamento de sistemas y los directivos deben desarrollar también una norma acerca de la concesión de permisos de seguridad concretos a los usuarios.

Monitoreo

La administración de seguridad es un proceso continuo que no termina con la implementación de un sistema de seguridad. Al monitorear constantemente la red, el departamento de sistemas puede determinar qué aplicaciones de seguridad funcionan con éxito, qué áreas deben mejorarse y cómo afectan los cambios de la red a la seguridad global.