La Detección de Incidentes de Seguridad.

Sin importar el tamaño de la organización, la Gestión de TI debe de aprender a identificar, documentar, manejar, remediar y cerrar incidentes de seguridad. La imagen que más se viene a la memoria cuando hablamos de hoyos en la seguridad, es la de un recipiente con agua, que tiene varios agujeros, por los cuales el agua, nuestra información, se está saliendo. En el caso de la seguridad de la información, lo agravante es que la Gestión de TI podría no saber de la existencia de estos agujeros o de cuantos son. A través de incidentes de seguridad se pueden causar todo tipo de daños y crearse la causa raíz de múltiples problemas que afecten la disponibilidad, en primer lugar, así como la integridad y la confidencialidad de nuestra información.

Lo primero que tenemos que tener conciencia es que cuando iniciamos operaciones con cualquier sistema e infraestructura tecnológica, sin importar lo planificado y detallado del proceso de implementación, estamos iniciando un proceso de mantenimiento continuo, que si se hace efectivamente, debe de ser más proactivo que reactivo. Por lo tanto, en el momento que se inician las operaciones, deben de iniciar los procesos de monitoreo de las variables que más nos interesa controlar. La seguridad es definitivamente una de estas variables. La tendencia tradicional es el monitorear variables relacionadas con el desempeño. Esto tiene su causa en que cuando el desempeño baja y los usuarios lo notan, estos se encargan de que el departamento de TI conozca de las dificultades. Por esta razón, el comportamiento normal, dentro de las operaciones de TI será siempre asignar más recursos y hacer más énfasis en mantener las operaciones funcionando a un nivel de desempeño aceptable. Sin embargo, al iniciar operaciones, también se empezará a atraer a todas las amenazas a la seguridad de la información existentes. Hace algunos años, los virus por ejemplo, causaban estragos en los computadores, buscando especialmente inutilizar servidores de una manera sistemática. Debo decir que este tipo de incidentes, aunque se evaluaba como catastrófico, eran superables con una muy buena política de respaldos y el mantenimiento de imágenes de los servidores más críticos, que permitieran un restablecimiento en un tiempo razonable. En algún momento, el proceso de reinstalar servidores llego a ser rutinario para la Gestión de TI. Hoy día, la Gestión de TI se enfrenta a amenazas más sofisticadas, de hackers que no están pensando solo en dañar nuestra infraestructura, o extraer información, sino que evalúan que se puede explotar de nuestra información y en caso de no existir nada “de valor” para ellos, secuestran sigilosamente nuestros equipos para usarlos de base en el lanzamiento de ataques hacia otros lugares. Esto último podría hacer ver nuestro negocio como “el hacker” que está atacando a otros objetivos.

Es de suma importancia que la Gestión de TI, a la vez que mantiene un desempeño aceptable de las aplicaciones y la infraestructura, mantenga un registro de los eventos que pueden relacionarse con la seguridad y define un espacio de atención hacia aquellos que muestran repetitividad o han atacado la infraestructura más crítica. Aunque esta labor es parte de las responsabilidades de un Oficial de Seguridad (ISO – Information Security Officer), como ya es conocido que en los medios salvadoreños y centroamericanos no todas las empresas han definido aún esta plaza, es recomendable que estas asignen responsabilidades específicas sobre la seguridad de la información y el registro y seguimiento de incidentes. Lo importante es que aunque no se esté trabajando el tema integralmente, generando políticas y monitoreando cumplimiento e incidentes, si se tenga la información correspondiente a eventos que afecten la seguridad y de una manera periódica se le preste atención al tema, con el objetivo de mantener el estado “seguro” de la información. Esta labor podría ser abordada por un equipo que evalué los diferentes aspectos de cada incidente y cree las recomendaciones para lograr evitar que el mismo incidente se repita y aun mejor, prevenir que los incidentes de seguridad ocurran.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 15 de octubre de 2012 en Seguridad de TI y etiquetado en , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: