Capacidad de OI: Proceso de seguridad: del nivel básico al estandarizado

  • Artículo
En esta página

Introducción Introducción
Requisito: Directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos Requisito: Directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos
Punto de control: Directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos Punto de control: Directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos

Introducción

El proceso de seguridad es un elemento clave de la optimización de infraestructura. La seguridad debe formar parte de los criterios de diseño de todos los procedimientos y tecnologías destacados por el modelo de optimización de infraestructura. La siguiente tabla enumera los desafíos de alto nivel, las soluciones aplicables y las ventajas de cambiar al nivel estandarizado en el proceso de seguridad.

Desafíos

Soluciones

Ventajas

Desafíos para la empresa

Los sistemas son complejos, incompatibles, caros y ofrecen servicios limitados en toda la organización

Desafíos de TI

Servicios remotos o basados en web incoherentes o inseguros

Falta de directivas de seguridad estándar

Identificación incoherente de  dispositivos conectados a la red

Pocos procesos automatizados y directivas de TI en vigor

Proyectos

Desarrollo de procesos coherentes para identificar y actualizar problemas de seguridad en todos los dispositivos conectados a la red

Desarrollo de un cumplimiento de la directiva de seguridad coherente en todos los dispositivos conectados a la red

Actualización a las versiones más recientes del SO y la infraestructura

Plan para evaluar el software actual con el fin de garantizar que cumpla los requisitos de seguridad

Ventajas empresariales

Los usuarios finales disponen de un contrato de nivel de servicio conocido y de contacto para la solución de problemas, lo cual mejora la productividad del personal

Ventajas de TI

Los niveles de riesgo de seguridad se conocen y administran

La respuesta a incidentes es más predecible y eficaz

Los datos y dispositivos están mejor protegidos gracias a medidas de seguridad proactivas

El nivel estandarizado de optimización requiere que la organización haya definido procedimientos para administración de riesgos, administración de incidentes y respuesta a éstos y pruebas de aplicaciones.

Requisito: Directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos

Destinatarios

Debe leer esta sección si no ha implementado planes de directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos.

Introducción

La mayor parte de las organizaciones sabe que es muy importante proteger sus datos y recursos de la pérdida o el daño por robo, error humano o informático, ataque malintencionado o cualquier otra clase de incidencia. Puede llevar a cabo acciones específicas para limitar la posibilidad de pérdidas o daños potenciales. Asimismo, puede establecer directivas y procedimientos para responder y reducir los efectos de la pérdida o daños a su entorno de TI.

Fase 1: Evaluación

La fase de evaluación debe determinar las necesidades de seguridad apropiadas para la organización y los procesos actualmente disponibles. Los requisitos de seguridad pueden variar mucho de una compañía a otra o de una institución a otra según, por ejemplo, el tamaño, el sector o campo, las leyes regionales y la normativa. La recopilación de los requisitos de su organización le permitirá definir un proceso de seguridad apropiado.

Fase 2: Identificación

Durante la fase de identificación, la organización examinará las herramientas y los procedimientos de que dispone actualmente y determinará cuáles son los requisitos de seguridad para la organización. Durante esta fase, recopilará las directivas de seguridad que actualmente están implícitas o aplicadas, además de los componentes de tecnología que ya están en uso o a su disposición. Asimismo, recopilará cualquier requisito externo basado en leyes o normas de su región o sector.

Fase 3: Evaluación y planeación

La fase de evaluación y planeación para el cambio al nivel de optimización estandarizado resalta determinadas áreas de mejora.

Directivas de seguridad

Para establecer un conjunto eficaz de directivas de seguridad y controles, es necesario determinar las vulnerabilidades que existen en los sistemas de equipos y revisar las directivas de seguridad y controles que los protegen. Esta revisión debe cubrir las áreas con falta de directivas, además de examinar las directivas actuales. Algunas de estas áreas son:

  • Directivas de seguridad físicas del sistema, como controles de acceso físico.

  • Directivas de seguridad de red (por ejemplo, directivas de correo electrónico e Internet).

  • Directivas de seguridad de datos (control de acceso y controles de integridad).

  • Planes y pruebas de contingencias y recuperación ante desastres.

  • Información y aprendizaje de seguridad del equipo.

  • Administración de la seguridad del equipo y directivas de coordinación.

  • Cumplimiento del software adquirido.

Su organización debe tener una persona dedicada a la revisión y el mantenimiento de las directivas de seguridad y al establecimiento de la estrategia de seguridad de la organización.

Para obtener información detallada acerca del desarrollo de directivas de seguridad, vaya a https://www.microsoft.com/technet/security/bestprac/bpent/sec1/secstrat.mspx.

Evaluación de riesgos

Con un proceso de administración de riesgos de seguridad formal, las empresas pueden funcionar de un modo más económico con un nivel conocido y aceptable de riesgos empresariales. Ese proceso de administración de riesgos de seguridad también ofrece a las organizaciones una forma coherente y clara para organizar y asignar prioridades a los recursos limitados con el fin de administrar el riesgo. Las ventajas de utilizar una administración de riesgos de seguridad se apreciarán al implementar controles asequibles que reduzcan el riesgo a un nivel aceptable.

Existen numerosas metodologías para asignar prioridades a los riesgos o evaluarlos, pero la mayoría están basadas en uno de estos dos enfoques o en una combinación de ambos:

  • Evaluación de riesgos cuantitativa  

  • Evaluación de riesgos cualitativa

Evaluación de riesgos cuantitativa

En la evaluación de riesgos cuantitativa, se estima el valor verdadero de cada activo de la empresa en función del costo de reemplazarlo, del costo por pérdida de productividad, del costo de reputación de la marca y de otros valores de negocio directos e indirectos. A partir de este análisis puede derivarse lo siguiente:

  • El valor monetario asignado a los activos.

  • Una lista completa de amenazas significativas.

  • La probabilidad de que cada amenaza ocurra.

  • El potencial de pérdida para la compañía, por amenaza, cada 12 meses.

  • Protecciones, controles y acciones recomendados.

Evaluación de riesgos cualitativa

La evaluación de riesgos cualitativa normalmente se lleva a cabo mediante la combinación de cuestionarios y talleres colaborativos que implican a personas de varios grupos de la organización, como expertos en seguridad de información, responsables y personal de tecnología de la información, propietarios y usuarios de activos de la empresa y directivos.

En los talleres, los participantes identifican los activos y estiman su valor relativo. A continuación, intentan predecir las amenazas a las que se enfrenta cada activo y los tipos de vulnerabilidades que pueden aprovechar dichas amenazas en el futuro. Los expertos en seguridad de información y los administradores del sistema normalmente proponen controles con el fin de mitigar los riesgos para el grupo en consideración y el costo aproximado de cada control.

Finalmente, los resultados se presentan a los directivos para que los tengan en cuenta durante un análisis de costos y beneficios.

Para obtener información detallada acerca de estos enfoques de la evaluación de riesgos, vaya a https://www.microsoft.com/technet/security/guidance/complianceandpolicies/secrisk/srsgch01,mspx.

Respuesta a incidentes

Cuando se produce una incidencia de seguridad, muchos profesionales de TI piensan que lo único para lo que tienen tiempo es contener la situación, averiguar qué ha sucedido y reparar los sistemas lo más rápidamente posible. Algunos pueden intentar identificar la causa principal, pero esto incluso puede parecer un lujo para los que tienen grandes restricciones de recursos. Aunque un enfoque reactivo de estas características puede constituir una respuesta táctica eficaz, la imposición de un pequeño nivel de rigor al enfoque reactivo puede permitir que las organizaciones de cualquier tipo utilicen mejor sus recursos. Con una planeación adecuada, la organización puede tratar de forma proactiva las infracciones de seguridad.

Enfoque reactivo

Debe tratar todos los incidentes de seguridad para reducir al mínimo el efecto en la organización y sus datos. Los siguientes pasos pueden ayudar a administrar incidentes de seguridad de forma rápida y eficaz.

  1. Proteger la vida humana y la seguridad de las personas.
    Si los equipos afectados controlan sistemas para mantener las constantes vitales, apagarlos no es viable.

  2. Contener el daño.
    Proteja rápidamente los datos, el software y el hardware importantes. El aislamiento de los equipos y servidores afectados puede originar una alteración de los servicios informáticos, pero mantener los sistemas en funcionamiento puede causar daños de gran difusión. Debe confiar en su criterio. Disponer de una directiva vigente de evaluación de riesgos facilitará las decisiones.

  3. Evaluar el daño.
    Realice inmediatamente un duplicado de los discos duros de cualquier servidor que haya sido atacado y ponga dichos servidores aparte para un posterior análisis de investigación. A continuación, evalúe los daños. Debe empezar por determinar el alcance de los daños que el ataque ha causado tan pronto como sea posible, inmediatamente después de contener la situación y duplicar los discos duros.

  4. Determinar la causa del daño.
    Para determinar el origen del ataque es necesario conocer los recursos a los que iba dirigido el ataque y las vulnerabilidades que se utilizaron para obtener acceso o interrumpir los servicios. Revise la configuración del sistema, el nivel de revisión, los registros del sistema, los registros de auditorías y las pistas de auditorías en los sistemas directamente afectados, así como en los dispositivos de red que enrutan el tráfico.

  5. Reparar el daño.
    Es de suma importancia que se repare el daño tan pronto como sea posible para así restaurar las operaciones de negocios normales y los datos que se han perdido durante el ataque. Los planes y procedimientos de continuidad de negocio de la organización deben cubrir la estrategia de restauración.

  6. Revisar las directivas de respuesta y actualización.
    Después de haber completado las fases de documentación y recuperación, debe revisar a fondo el proceso. Determine con su equipo cuáles son los pasos que se realizaron correctamente y qué errores se cometieron.

Enfoque proactivo

La administración de riesgos de seguridad proactiva tiene numerosas ventajas con respecto a un enfoque reactivo. En vez de esperar a que suceda lo peor y, a continuación, llevar a cabo la respuesta, se minimiza la posibilidad de que ocurra lo peor. Se trazan planes para proteger los activos importantes de la organización mediante la implementación de controles que reduzcan el riesgo de que el software malintencionado, los piratas informáticos o un uso incorrecto accidental aprovechen las vulnerabilidades.

Un enfoque proactivo puede ayudar a las organizaciones a reducir considerablemente el número de incidentes de seguridad que surjan en el futuro, pero no es probable que dichos problemas desaparezcan por completo. Por lo tanto, las organizaciones deben continuar mejorando sus procesos de respuesta a incidencias mientras desarrollan simultáneamente enfoques proactivos a largo plazo.

Al desarrollar un plan de respuesta, debe contemplar escenarios reactivos y proactivos. Los pasos reactivos enumerados anteriormente deben complementarse con una planeación proactiva. Las principales áreas que deben tratarse al preparar un enfoque proactivo son:

  • Identificar los activos de negocios.

  • Determinar el daño que un ataque a un activo podría provocar a la organización.

  • Identificar las vulnerabilidades que aprovechará el ataque.

  • Determinar el modo de minimizar el riesgo de ataque mediante la implementación de los controles adecuados.

Seguridad de la información

Una de las tareas más importantes del departamento de TI es garantizar la seguridad de los datos de la compañía. Hay varios pasos que pueden darse para cambiar al nivel estandarizado de la seguridad de los datos.

  • Debe implementar controles antivirus en todos los equipos. (Consulte la sección "Software antivirus para equipos de escritorio" que aparece con anterioridad en esta guía).

  • La organización necesita establecer directivas coherentes para clasificar los datos confidenciales.

  • Se precisan procesos coherentes para identificar problemas de seguridad que puedan poner en peligro los datos confidenciales de la compañía.

Para ver un análisis completo acerca de la seguridad de los datos, visite https://www.microsoft.com/technet/security/bestprac/bpent/sec3/datasec.mspx.

Fase 4: Implementación

En la fase de implementación se implementan las mejoras de los procesos de seguridad evaluadas y aprobadas. Es importante llevar a cabo pruebas de funcionalidad, ya que forman parte del refuerzo de la directiva de seguridad y de los simulacros de incendio periódicos para asegurarse de que los procesos de los datos son eficaces.

Más información

Para obtener más información acerca de los planes de respuesta a incidentes, vaya a https://www.microsoft.com/technet/security/guidance/disasterrecovery/responding_sec_incidents.mspx.

Punto de control: Directivas de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos

Requisito

Nombramiento de una persona dedicada para estrategias y directivas de seguridad.

 

Establecimiento de una metodología de evaluación de riesgos.

 

Establecimiento de un plan de respuesta a incidentes.

 

Establecimiento de un proceso para administrar identidades de usuarios, dispositivos y servicios.

 

Establecimiento de procesos coherentes para identificar problemas de seguridad, incluidos todos los dispositivos conectados a la red.

 

Establecimiento del cumplimiento coherente de la directiva de seguridad en los dispositivos de red.

 

Establecimiento de una directiva coherente para clasificar datos.

Una vez completados los pasos anteriores, su organización habrá cumplido los requisitos mínimos del nivel estandarizado para la directiva de seguridad, evaluación de riesgos, respuesta a incidentes y seguridad de datos.

Le recomendamos que además siga los procedimientos recomendados adicionales para los procesos de seguridad tratados en el Centro de seguridad Microsoft TechNet.

Ir a la siguiente pregunta de autoevaluación.