Cinco aspectos para mejorar la seguridad en las empresas

En este post se presentan 5 aspectos sobre los cuales se debe trabajar si se quiere mejorar la seguridad en las empresas. Los mismos se han identificado en distintas empresas e industrias sobre las cuales he desarrollado tareas profesionales en materia de seguridad. Espero que les resulte útil.

Nª1 - Acompañar al Negocio (tener claro que no somos el negocio)

Es frecuente encontrarse con empresas en donde la seguridad se implementa de tal forma que perjudica la operación y esto en definitiva perjudica “al negocio”. Los que estamos en seguridad muchas veces nos creemos los más importantes dentro la empresa, pero en realidad nuestro rol debería pasar a 2do plano y enfocarnos en el negocio. Tenemos que tener presente que debemos acompañar al negocio, ayudar a la empresa a ser transparente y confiable. Este último podría ser el objetivo principal de implementar seguridad. El mayor esfuerzo lo tendremos para lograr el apoyo necesario de la Alta Dirección, que es fundamental para el éxito de un programa, pero si hablamos en lenguaje de negocio esto será más sencillo. Debemos saber mostrar los riesgos y sus posibles tratamientos en el lenguaje que entiende quien toma las decisiones, que seguramente no seremos nosotros (y está bien que así sea).

La seguridad no es el negocio, eso debemos entenderlo, el negocio es quien necesita seguridad. En definitiva debemos ser capaces de acompañar, aconsejar y gestionar en materia de seguridad, para que la empresa opere con el nivel de riesgo aceptable por la Alta Dirección. Imponer la seguridad no es una buena idea, debe surgir del convencimiento que debemos lograr de la Alta Dirección, que serán los verdaderos responsables.

Nª 2 - ¿Qué tenemos? (cuáles son nuestros activos)

Para implementar seguridad, debemos saber con qué contamos desde el punto de vista de los activos de la empresa. Para ello es fundamental conformar un inventario único, esto último resaltado dado que es común encontrarse con “varios inventarios” que ninguno refleja la realidad de la empresa sino únicamente de distintos ámbitos, por ejemplo, los agentes desplegados del antivirus, los servidores que tienen parches aplicados, los equipos de escritorio, entre otros. Es indispensable conformar un único inventario “vivo” que incluya a todos los activos de la empresa: equipos de escritorio, servidores, teléfonos, software, hardware, dispositivos, documentos, licencias de software, recursos humanos, entre otros. Aunque parezca trivial, no se puede realizar una correcta gestión de riesgo sin contar con el total de activos. Procesos como la gestión de cambios, incidentes o los relacionados con la continuidad del negocio requieren sin dudas de este último punto.

Es frecuente encontrarse con dificultades para identificar la ubicación física de un equipo, las aplicaciones que corre o los procesos de negocio involucrados. Esto se puede mejorar con un inventario actualizado y completo.

Nª 3 - Orden para poder Controlar (medir y gestionar)

Sin dudas al querer controlar un determinado aspecto se debe contar con cierto orden que permita realizar el control. En relación a la seguridad de la información, esto se podría identificar en procesos con sus activos involucrados y sobre estos los distintos controles que haya definido la empresa. Un ejemplo claro podría ser un parque de servidores, que responden a determinados servicios de TI para lo cual se ha determinado una línea base de seguridad que endurece estos equipos permitiendo que sólo se ejecuten los servicios estrictamente necesarios (esto no es tarea sencilla pues requiere documentar los requerimientos de servicio a detalle), la gestión de las cuentas administrativas, de emergencia y de servicios, la activación de registros de auditoría y el monitoreo de cambios y performance, entre otros.

Existen herramientas que facilitan esta gestión realizando chequeos de integridad de las configuraciones, control de cuentas privilegiadas, recolección de pistas de auditoría, etc.

Es una realidad que no se puede controlar lo que no se puede medir, por lo tanto al momento de definir controles es indispensable realizarlo con el objetivo de poder verificar fehacientemente su cumplimiento. En tal sentido el espíritu de control interno es fundamental, además de orientarse a controles que puedan automatizarse, para evitar lo más que se pueda la intervención manual, que siempre es un factor de riesgo que dificulta el cumplimiento eficiente de dichos controles y genera a su vez dependencia en las personas que los ejecutan.

Estos lineamientos deberían incorporarse a todos los activos tecnológicos, para ello existen las mejores prácticas de seguridad en cada plataforma las cuales deberemos adaptar a nuestro escenario y tratamiento del riesgo definido.

No es una buena idea tomar “recetas” e implementarlas dado que podemos cometer errores gravísimos que pongan en un riesgo mayor al que se quiere gestionar al activo. Ninguna empresa es igual a otra, al igual que sus riesgos, por lo tanto las medidas de seguridad deberán ser distintas y acorde a cada una de ellas.

Nª 4 - TI es un Servicio

Los que venimos de “sistemas” debemos aceptarlo, somos un soporte al negocio...les prestamos servicios de tecnologías de información. Nada más y nada menos. No está dentro del ámbito de TI tomar decisiones que involucren información de negocio. Es frecuente encontrarse con referentes de sistemas que planifican migraciones, paradas de mantenimiento, pruebas de planes de contingencias y cuando se les pregunta por la autorización del usuario clave o dueño de datos involucrados, habían olvidado comentarle la gestión que iban a realizar. Es el error de creer que “los servidores son míos” o “el usuario no entiende”. Los servidores son del negocio y el usuario si le hablamos en su idioma nos entiende muy bien.

Es importante gestionar los servicios de tecnologías de información como tal, como servicios. Para ello se debe trabajar fuertemente en el cambio cultural involucrado para esta “nueva” óptica, en donde los servicios de tecnología de información están en 2do plano y el negocio es quién determina los tiempos y los requerimientos. Está del lado de “sistemas” saber interpretar estos requerimientos y estar alineado con el negocio, identificar claramente hacia donde está yendo la empresa y ofrecer las mejores soluciones tecnológicas en base al presupuesto asignado. Obviamente estos requerimientos incluyen los relacionados con seguridad de la información, dado que la seguridad es (o debería ser) un requerimiento del negocio. Aquí tendremos otro desafío, ahora desde el lado de seguridad, dado que “sistemas” en muchos casos decide, implementa y luego le “avisa” a seguridad el resultado final...y todo ya está productivo.

En empresas con fuertes requerimientos regulatorios se suele encontrar un escenario más equilibrado y seguridad de la información y “sistemas” no están en veredas (tan) separadas sino que son un complemento (cada uno con sus responsabilidades específicas) en pos del negocio.

Nª 5 - ¿Y las personas? (el eslabón (más débil) clave)

Y como era de esperarse, ningún plan funciona sin tener presente en todo momento que participan personas. Se debe trabajar fuertemente, involucrando en los procesos de seguridad a los recursos humanos, desde antes de la contratación y durante toda su permanencia, hasta que dejan la empresa. Parece algo obvio, pero es difícil encontrar empresas en las cuales el área de Recursos Humanos participe de los “temas de seguridad”. Es común encontrarse con empresas que implementan distintos niveles de control de acuerdo a si la persona es contratada o “propia”, aunque en realidad los controles deberían implementarse en base al riesgo involucrado, y no de acuerdo a la modalidad de contratación. Se sorprenderían de ver como algunos Dueños o Directores no cumplen la política de contraseñas definida en la empresa (a pesar de haberla aprobado).

La gestión de accesos, otro aspecto clave en la gestión de la seguridad, y en el cual Recursos Humanos tiene un papel fundamental, dado que los puestos deberían corresponderse con accesos en los distintos sistemas, para ello es fundamental contar con las descripciones de puesto y la participación de los referentes de Recursos Humanos en la definición de los perfiles de acceso. Los cambios de puesto, la finalización de los contratos, son todos cambios que deben comunicarse formalmente y que es difícil encontrar con la madurez que el negocio requiere.

Otro punto importante en el cual se requiere la gestión de los Recursos Humanos es en tratamiento de los incidentes de seguridad, en el cual los usuarios tienen un rol fundamental, tanto en la notificación, como en las tareas asociadas a su resolución y de corresponder, en las medidas disciplinarias que correspondan. En este sentido es difícil encontrarse con “los términos y condiciones” firmados por los usuarios finales (mucho menos por el personal externo), sin tener en cuenta las limitaciones que genera esta ausencia al momento de encarar un proceso legal.

Por último, es importante mencionar que ningún plan de concientización es eficiente si no participa el área de Recursos Humanos, tanto en su conformación, como en el despliegue y monitoreo de avance. Sin dudas en este aspecto es donde más se debe trabajar dado que el usuario es el eslabón más débil de la cadena y eso se demuestra día a día.

BONUS TRACK - No es necesario inventar la rueda.

Como último punto y para no dejarlos sólo con los problemas y alguna que otra solución, comparto algunos documentos que podrían utilizarse de referencia dado que no es necesario inventar la rueda, sino conocer los estándares internacionales, las buenas prácticas y adaptarlas a los distintos escenarios, luego del análisis correspondiente.

A continuación los documentos:

• CobIT: http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
• ISO27001: http://www.iso.org/iso/catalogue_detail?csnumber=42103
• ISO27002: http://www.iso.org/iso/catalogue_detail?csnumber=50297
• SANS 20 Critical Security Controls: http://www.sans.org/critical-security-controls/guidelines.php
• Small Business Information Security:The Fundamentals: http://csrc.nist.gov/publications/drafts/ir-7621/draft-nistir-7621.pdf
• Center for Internet Security: http://cisecurity.org/en-us/?route=downloads
• Observatorio de INTECO: http://www.inteco.es/Seguridad/Observatorio/manuales_es/
• NIST - Special Publications: http://csrc.nist.gov/publications/index.html
• Information Security Handbook, a Guide for Managers: http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf

Saludos!

Contribución por Mariano del Rio

Etiquetas: contribuciones , gestión