Protección, la segunda categoría del framework de Cyberseguridad

Instintivamente, cuando pensamos en Seguridad, se piensa en la palabra protección. Cuando pensemos en Seguridad de la Información, es importante recordar que en el contexto del Framework de Cyberseguridad del NIST, este término ocupa la segunda categoría, por lo cual, es importante primero haber identificado todos los elementos que interesa asegurar, a través de la implementación de la categoría de Identidad. (Para más información ver   Identificar, el primer paso de la Cyberseguridad).

La categoría de protección en el Framework de Cyberseguridad incluye las siguientes sub-categorías: control de accesos, concientización y entrenamiento, seguridad de los datos, procesos y procedimientos de protección a la información, mantenimiento y tecnologías de protección. Tradicionalmente, los presupuestos de seguridad de una organización han sido dirigidos a la última sub-categoría, bajo el supuesto de que la tecnología por si misma puede brindar protección. Sin embargo, no ha sido suficiente. Es importante entender que la tecnología de protección, tales como antivirus, firewalls y similares, son herramientas necesarias para ser efectivos en proporcionar seguridad a la información. Sin estas herramientas la seguridad no puede ser alcanzada, pero el adquirir las herramientas no proporciona seguridad, sino se siguen procedimientos adecuados, si el personal no está consciente a un nivel aceptable de las amenazas de seguridad y si el control de accesos no ha sido establecido para garantizar que sólo personal autorizado tiene acceso a la información.

Entre los casos que puedo comentar, es típico tener una solución de antivirus, que ha sido adquirida para el total de los equipos de la organización, sin embargo, no todos los equipos de la organización tienen instalado el software, o si lo tienen, este no está actualizado para proporcionar el máximo de protección posible. Cuando esto pasa es inefectivo para la organización, no sólo porque se ha invertido dinero en algo que no es bien utilizado, sino también porque el impacto de tener fallas en la seguridad de la información, acarreará costos adicionales a la organización. Esto deja bien claro, que aparte de la herramienta, se deben implementar procedimientos que optimicen la protección. Esto incluye procedimientos de auditoría de sistemas. Como un ejemplo, al realizar una auditoría de sistemas a la implementación de medidas de seguridad, encontré que no sólo la actualización de firmas fallaba, sino también la actualización del software de antivirus. En esa ocasión, aprendí que los administradores de las herramientas de seguridad tienden a confiar en lo que les informan consolas centrales, sin preocuparse por verificar la información, aunque sea muestralmente, como se hace en la auditoría de sistemas.

Para evitar el problema de ser juez y parte, se ha creado la función de Oficial de Seguridad de la Información. Este rol debe de establecer los procedimientos de seguridad mínimos que permitan que el Plan de Seguridad de la Información sea ejecutado de manera consistente. También debe de evaluar el nivel de cumplimiento de los procedimientos y su nivel de efectividad, que le permita identificar puntos de mejora. Esto es la teoría, en la práctica de las empresas del área centroamericana, este rol aun no es entendido por la alta dirección, que lo ven como una tarea adicional del Gerente de Sistemas o de alguien en informática. Si alguien de la Alta Dirección de una empresa lee esto, es importante que entienda que las amenazas informáticas evolucionan diariamente, por lo tanto la protección contra esas amenazas no puede ser pensada de manera estática y requiere de constante medición, evaluación y adecuación.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 19 de mayo de 2016 en Sin categoría. Añade a favoritos el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: