Los Diferentes Ángulos de la Seguridad de la Información

Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 10 de junio de 2014 en Auditoría de TI, Prácticas de Gestión, Seguridad de TI y etiquetado en , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: