Creacion de Seguridad en la Empresa

Establecer una cultura de seguridad en la empresa es sumamente importante, pero la seguridad en los entornos informáticos empresariales, no consta de un único paso, sino que es un proceso dentro de la empresa. Asumiendo que la seguridad absoluta no existe, lo primero que debiéremos hacer es montar una infraestructura de seguridad para prevenir posibles incidencias y protegernos frente a las amenazas que puedan acontecer.

Necesitaremos también tomar medidas contra los posibles daños y que nos permitan detectar cuándo, dónde, por quién y con qué alcance hemos sido atacados o cómo han sido vulnerados nuestros sistemas. Podremos establecer políticas de respaldo que nos permitan seguir funcionando si es posible, con entornos distribuidos donde repartamos la información y los datos o con sistemas de respaldo que funcionen en un entorno distinto o distribuido.

Por último, implicará un plan de reacción, tomaremos las medidas para recuperarnos del suceso, recuperar los activos, o los daños producidos sobre estos.
Para poder hacer esto habrá que actuar en cuatro niveles diferentes.

NIVEL DIRECTIVO

Para que el proceso de seguridad sea exitoso dentro de la empresa, este ha de venir impulsado desde los niveles de dirección de la empresa, pero no solo se debe dar el visto bueno, sino que se debe demostrar que la seguridad y la gestión de los diferentes riesgos tecnológicos es un elemento de gran importancia dentro de las organizaciones.
Para que la seguridad sea un hecho dentro de la empresa, esta debe de afectar a todos los empleados por igual, no se puede esperar que los empleados cambien su comportamiento e introduzcan o incorporen las diferentes estrategias y políticas de seguridad si sus superiores no la respetan o no la incorporan a su día a día.

Desde la propia dirección se deben incorporar las acciones que trabajen en pro de la seguridad de la empresa, no se debe esperar por parte del resto de los empleados.
En multitud de ocasiones, con adquisiciones de nuevos sistemas, o con integraciones o adquisiciones de otras empresas, la seguridad no es uno de los valores puestos en primer plano por parte de la dirección y esto puede ser aprovechado por hackers para tratar de atacar a la empresa. Conseguir modificar esto es una función de la dirección de la compañía.

De hecho intentar crear un plan de seguridad sin el apoyo de la alta gerencia es una perdida de tiempo y recursos ya que promover las iniciativas empresariales desde los niveles superiores a los niveles inferiores es el único camino posible para que están funcionen.

POLÍTICAS DE SEGURIDAD

El establecimiento dentro de la compañía de políticas de seguridad lo que nos permitirá es evitar el uso indebido de los sistemas informáticos, debiéremos crear y establecer políticas que nos permitan ayudar a establecer los niveles de seguridad deseados dentro de la compañía.
Para la creación de las políticas de seguridad se deben realizar previamente una serie de análisis que generarán y descubrirán las necesidades de la empresa a nivel de seguridad, que nos permitan conocer los riesgos a los que nos enfrentamos, que determinen cuál es la cultura de la organización y cuáles serán los costes de aplicación de las políticas así como qué beneficio nos dará el implantarlas.
Para crear las políticas se debe de generar un documento específico, claro, conciso y realista. Una política estará bien escrita si se puede generar de ella una lista de comprobación de su cumplimiento. Para ello, las políticas de seguridad deberán establecer cuáles son los activos que se protegen y hacerlo de manera razonada, si no sabemos por qué, muchas veces no llegaremos a implantar dicha política.
Se deberá de asignar a una persona o departamento responsable de dicha protección, para que esta llegue a buen término.
Describirán cuáles son las acciones o los pasos que se consideran aceptables dentro de la compañía y cuáles no se deben permitir en ningún caso, de forma clara.
Establecerán cuáles son las consecuencias de la violación o vulneración de las políticas de seguridad para los usuarios de la empresa.
Por último, dentro de las políticas se debieran incluir también procedimientos para resolver los problemas derivados de la aplicación de las políticas de seguridad en la compañía.
El establecimiento de estas políticas no solo es bueno para la organización, sino que restringen su responsabilidad en caso de que un empleado se las salte.

Se pueden establecer políticas que definan el uso aceptable de los sistemas informáticos y del acceso a la información por parte de los diferentes usuarios.

Podemos optar también por establecer políticas de tipo autorización, donde lo que se define son los niveles de acceso de cada usuario y el tipo de información accesible, de acuerdo a los diferentes niveles que hayamos establecido.
Las políticas de seguridad de la empresa no son elementos que funcionaran o existirán de forma autónoma, sino que serán extensiones de otras políticas existentes dentro de la organización, y deberán de asumirse como tal. Por ejemplo, es posible que existan políticas de igualdad de oportunidades para evitar y combatir el acoso sexual o la discriminación, pues las políticas de seguridad deben entrar de forma natural como cualquiera dentro de la organización de la compañía.
Para que sea efectiva como cualquier otra política existente dentro de la empresa, esta debe de ser promovida e impulsada por parte de la dirección de la empresa y debe ser conocida y comprendida por parte de todos los empleados de la compañía.

Para conseguir que estas políticas lleguen a ser eficaces debieran venir impulsadas y avaladas por la dirección de la compañía, no solo de palabra, sino también con su ejemplo, para evitar problemas futuros en el funcionamiento de la empresa.

PROCEDIMIENTOS DE SEGURIDAD

Los procedimientos de seguridad es el nivel donde se va a producir la transición entre los documentos y políticas de seguridad que hayamos creado y la aplicación diaria de las políticas dentro de nuestra propia organización.
Serán el entorno donde generaremos ejemplos detallados de las diferentes prácticas que se deben impulsar, desalentar o prohibir dentro de la organización de acuerdo a las políticas establecidas.

En este nivel debiéremos definir elementos tales como la obligatoriedad de existencia de un usuario para cada empleado, con su propia contraseña y las políticas de definición de la contraseña como la fortaleza de la misma, número de caracteres mínimo, combinación de caracteres o duración de la misma.
Se definirán políticas de actualización de componentes, del software, del sistema operativo, antivirus, etc.

HERRAMIENTAS DE SEGURIDAD

Para poder aplicar la correcta seguridad dentro de la empresa, no es suficiente con crear y diseñar unas políticas de seguridad, sino que debiéremos proveernos de las herramientas adecuadas que nos permitan su correcta implantación.Así, será necesario seleccionar las herramientas necesarias a nivel de software, hardware y herramientas de red que nos permitan garantizar las diferentes políticas establecidas. A la hora de buscar la tecnología y las herramientas necesarias debiéremos actuar con cuidado, ya que posteriormente y en gran medida dependeremos de ellas.

Existen herramientas y tecnologías aún inmaduras, que prometen muchas posibilidades, pero el hecho de estar en constante evolución puede hacer que no sean las idóneas en un momento dado.
Por otro lado, debiéremos comprobar la existencia de estándares y el seguimiento de las legislaciones vigentes por parte de las diferentes herramientas, así como la correcta actualización de las mismas, dado que el mundo de la seguridad tecnológica, como casi todo en los entornos de las tecnologías de la información y las comunicaciones se encuentra en constante avance y si no garantizamos correctamente las actualizaciones de los sistemas, podemos quedar desfasados.

A la hora de protegernos tendremos que tener en cuenta no solo estas herramientas, sino que al final, ellas son solo herramientas tecnológicas al servicio de la organización, por lo tanto, la creación e implantación de las diferentes políticas, así como su seguimiento y observación por parte de los empleados es fundamental.

La gestión eficaz de un programa de seguridad requiere de flujos de información eficaz hacia y desde todas las partes de la organización. Abarcando información sobre eventos, incidentes, amenazas y riesgos de todas las partes de la organización, así como fuentes externas, toda esta información es esencial para la gestión de la seguridad.

Es igualmente esencial toda información relativa al mantenimiento de la seguridad y que esta se comunique a la dirección y al personal en toda la organización, tanto de manera periódica como impulsado por acciones concretas.

 

Alfonso López

Alfonso López

Instagram

MBA Dirección de Sistemas de Información.
Grado Ingeniería Informática.
Ingeniero Técnico Informática sistemas.
CISM - LPIC1 - SUSE SCA - MCSE
___________________________________________

Alfonso López

Latest posts by Alfonso López (see all)

También te podría gustar...

Di lo que piensas

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies , pinche el enlace para mayor información.Mas información sobre las cookies

ACEPTAR
Aviso de cookies