Revista Mundo-Contact
|
Amenazas internas y externas críticas para las áreas de TI 2ª. de 2 partes Consulta la primera parte de este artículo en el número anterior de la Revista MundoContact La pregunta más difícil que enfrentan las empresas es, ¿cómo puedo hacer frente a las amenazas internas y externas de TI? Cada proceso es diferente; es decir, no existe un enfoque estandarizado que pueda aplicarse de forma fiable para el escrutinio de las vulnerabilidades. Sin embargo, en términos generales, un proceso o proyecto para la mejora de la seguridad debe incluir como mínimo los siguientes elementos: Elaboración de un modelo del proceso Hacer un modelo del proceso que se aplica actualmente en la organización es importante tanto para determinar el alcance de las razones, como para la identificación de las debilidades y vulnerabilidades inherentes al proceso. Este análisis debe estar basado en dos modelos diferentes pero complementarios. El proceso debe ser modelado desde un punto de vista de “personas y responsabilidades”. Esto significa que sean identificados los pasos en el proceso, así como las personas responsables de cada paso. Se identifican posibles uniones o rutas alternativas, y todos los traspasos de productos intermedios durante el proceso. El proceso también debe ser modelado desde una perspectiva de información. Esto incluye la identificación de qué información entra y de dónde. También durante el proceso, la información es creada, accedida, actualizada y borrada, y es vital saber qué información es, qué acciones son llevadas a cabo en ella, cuándo y cómo, y por quién. Identificación y mitigación de vulnerabilidades y debilidades Estos diferentes modelos serán combinados. Un análisis posterior se llevará a cabo para identificar riesgos en la seguridad asociados con ambos modelos, y la eficacia de las medidas de mitigación que se encuentran actualmente en su lugar. Una vez que las vulnerabilidades han sido identificadas y las posibles medidas de mitigación han sido seleccionadas, un análisis costo-beneficio puede ser llevado a cabo para determinar si esta medida propuesta es superior al costo de las interrupciones, asociada con la identificación de las amenazas. Basado en el análisis, se puede desarrollar un plan de acción apropiado. Frecuentemente se proponen cambios en la estructura del proceso mismo. También pueden ser necesarias medidas más extremas, como la implementación de software de terceros para monitorear o asegurar el proceso. La ejecución del plan de acción generalmente proporciona una postura mejorada de seguridad para la organización. Sin embargo, se puede hacer más para garantizar la seguridad de los procesos críticos. El factor humano Contrariamente a algunas percepciones de gestión, el eslabón más débil (en términos de seguridad) en una empresa es el personal que labora dentro de la misma. Esto no significa que los empleados deliberadamente o consistentemente le roben al dueño, o que conscientemente fallen en el desarrollo de su trabajo. Así como las empresas y los procesos son los objetivos para los atacantes, los empleados pueden ser objetivos individuales y víctimas de atacantes. Se necesita un empleado altamente calificado para contrarrestar un ataque de ingeniería social. La mayoría de los empleados, especialmente aquellos que tratan directamente con los clientes, están dispuestos a asistir en lo que necesiten. Se puede confiar en ellos. Saben qué hacer y cuándo hacerlo. Para establecer confianza, las empresas llevan a cabo algún tipo de detección de empleados durante el proceso de contratación o entrada; un cierto nivel de detección suele ser estándar para la mayoría de los empleados. Detecciones más profundas son desempeñadas para los individuos que estarán trabajando en posiciones que requieren un alto nivel de confianza. Los exámenes periódicos son con frecuencia pasados por alto, pero deberían ser considerados necesarios. Entornos de alta seguridad para los procesos de alto riesgo Puede considerarse aislar el proceso a un estricto entorno de control; la seguridad blindará del exterior de todas las formas imaginables, pero siempre desde el punto de vista de un proceso. Dependiendo de los requerimientos, las entradas y salidas del proceso confinado están controladas y monitoreadas, tanto los componentes físicos como los electrónicos. Dentro del sector privado, estos entornos empiezan a ser más comunes, particularmente en los bancos y la investigación. La seguridad centrada en el proceso proporciona un nuevo modelo y una nueva manera de ver a la seguridad. Al eliminar el enfoque dividido de la seguridad y establecer el foco en el proceso, es posible la convergencia de múltiples tecnologías y proveer una posición mejorada de seguridad a la empresa. Actualmente existen modelos de seguridad de defensa en profundidad de capas, y metodologías para la protección de procesos de negocios sensibles o de alto riesgo, inclusive la parte física (instalaciones), TI / comunicación, personal y el proceso de control de seguridad. En estos modelos, el proceso es puesto en el centro, como el primer asunto a ser protegido, y la seguridad del personal, físico y TI / comunicaciones son los diferentes componentes que interactúan con él. La implementación de tal entorno requiere un nivel alto tanto de entendimiento como de compromiso con la seguridad por parte de la empresa en la aplicación de la estrategia. Si bien este enfoque no es recomendado en cada caso, la arquitectura proporciona un modelo fuerte para las mejores prácticas en técnicas de seguridad en toda la empresa. “Lo que falta es la visión integral en materia de seguridad, poniendo en el centro la seguridad del proceso que está directamente conectado con los objetivos de negocio de la empresa, y dando como resultado la inmersión organizacional de seguridad en todos sus componentes. Unisys ha creado un nuevo modelo integrado para la gestión de seguridad y la metodología de implantación, ayudando a las empresas a alinear sus objetivos de seguridad con los del negocio”,comentó Francisco Farrera, Consultor de Soluciones en Unisys México. |
|
