capítulo 13: mejores prácticas en la administración de ... · capítulo 13 290 capítulo 13:...
TRANSCRIPT
Capítulo 13
i
Capítulo 13: Mejores prácticas en la administración de seguridad de la información ......................290Alineación de la seguridad de la información con estrategias de negocio..... ....................................291
Eficiencia operacional............................................................................................................291Mejores prácticas: defensa en profundidad................................................................291Mejores prácticas: medidas operacionales específicas ..............................................292
Cumplimiento ........................................................................................................................292Regulaciones orientadas a la integridad.....................................................................293Regulaciones orientadas a la privacidad ....................................................................293Mejores prácticas en cumplimiento ...........................................................................294
Flexibilidad y adaptabilidad...................................................................................................294Políticas y procedimientos de seguridad de la información...............................................................295
Evaluación de riesgos ............................................................................................................295Análisis de riesgos .....................................................................................................295Evaluación de vulnerabilidades .................................................................................296
Política de seguridad ..............................................................................................................296Declaración de objetivos............................................................................................297Declaración del alcance .............................................................................................297Componentes de la política........................................................................................297Mecanismos de cumplimiento ...................................................................................297Definiciones, referencias y recursos ..........................................................................297
Organización de seguridad de la información .......................................................................298Administración de activos......................................................................................................298Seguridad de recursos humanos.............................................................................................299Seguridad física y ambiental..................................................................................................299Administración de operaciones y comunicaciones ................................................................300
Planificación de operaciones......................................................................................300Protección contra malware ........................................................................................301Protección de activos de red ......................................................................................301Respaldo y recuperación ............................................................................................302Monitoreo de operaciones..........................................................................................302
Control de acceso...................................................................................................................302Adquisición, implementación y mantenimiento de sistemas de información........................303Administración de incidentes.................................................................................................303Administración de continuidad ..............................................................................................303Política de cumplimiento .......................................................................................................304
Evaluación del estado de la seguridad integrada ...............................................................................304Monitoreo del estado de la seguridad integrada ....................................................................305
Establecimiento de puntos de partida ........................................................................305Auditoría ....................................................................................................................306Integración de información de múltiples sistemas.....................................................306
Administración de vulnerabilidades ......................................................................................307Dispositivos administrados y semiadministrados que van más allá de los servidores de seguridad ................................................................................................................................308
Administración de soluciones de múltiples puntos............................................................................308Ventajas de las soluciones de múltiples puntos .....................................................................308Informe de desafíos con soluciones de múltiples puntos.......................................................309
Resumen: Creación de un entorno de seguridad de información adaptable ......................................309
Capítulo 13
ii
Declaración de derechos de autor© 2007 Realtimepublishers.com, Inc. Todos los derechos reservados. Este sitio contiene material que ha sido creado, desarrollado, o autorizado por, y publicado con el permiso de Realtimepublishers.com, Inc. (los “Materiales”). Además, este sitio y todos los Materiales están protegidos por leyes internacionales de derechos de autor y de marcas comerciales.LOS MATERIALES SE PRESENTAN “EN EL ESTADO EN QUE SE ENCUENTRAN” Y ESTÁN DISPONIBLES SIN GARANTÍA DE NINGÚN TIPO, YA SEA EXPRESA O TÁCITA, INCLUYENDO, PERO SIN LIMITARSE A, CUALQUIER GARANTÍA IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN FIN ESPECÍFICO, TÍTULO O DE NO VIOLACIÓN. Los Materiales se encuentran sujetos a cambios sin previo aviso y no representan un compromiso por parte de Realtimepublishers.com, Inc. o los patrocinadores de su sitio Web. En ningún caso, Realtimepublishers.com, Inc. o los patrocinadores de su sitio Web serán responsables por errores u omisiones técnicas o editoriales de los Materiales, incluyendo sin limitación, cualquier daño directo, indirecto, accidental, especial, ejemplar o consiguiente que resulte del uso de cualquier información incluida en los Materiales. Los Materiales (incluyendo sin limitación, textos, imágenes, audio y/o videos) no pueden copiarse, reproducirse, reeditarse, cargarse, publicarse, transmitirse o distribuirse de ningún modo, de manera total o parcial; excepto que una copia se descargue para uso personal y no comercial en la computadora de un solo usuario. En relación con tal uso, no puede modificar ni ocultar ningún derecho de autor u otra notificación de propiedad. Los Materiales pueden incluir marcas comerciales, marcas de servicios y logotipos que son propiedad de terceros. Usted no está autorizado para utilizar estas marcas comerciales, marcas de servicios o logotipos sin el previo consentimiento por escrito de dichos terceros.Realtimepublishers.com y el logotipo de Realtimepublishers están registrados en la Oficina de Patentes y Marcas Comerciales de los EE. UU (US Patent & Trademark Office). Todos los nombres de servicios o productos son propiedad de sus respectivos propietarios.Si tiene alguna pregunta sobre estos términos o si desea más información sobre materiales de licencias de Realtimepublishers.com, comuníquese con nosotros por correo electrónico a [email protected].
Capítulo 13
290
Capítulo 13: Mejores prácticas en la administración de seguridad de la información
A lo largo de esta guía sobre administración de seguridad, hemos examinado la amplitud de temas que los profesionales de seguridad de la información enfrentan cuando se trata de la seguridad de la información empresarial. Estos temas varían desde detalles técnicos de virus polimórficos hasta desafíos de negocio al momento de evaluar riesgos.En este capítulo final, nos concentramos en resumir las mejores prácticas en la administración de seguridad de la información. No es importante tratar de formular un esquema unificador general que comprenda todos los aspectos de la administración de seguridad de la información; si fuera posible encontrar un grupo de principios de definición, probablemente sería tan abstracto que tendría poco valor. En cambio, adaptamos un enfoque pragmático y nos enfocamos en áreas clave de administración de seguridad de la información que son esenciales para programas de seguridad bien fundados.Este capítulo examinará cinco tipos de mejores prácticas:
Alineación de seguridad de la información y estrategias de negocio Definición e implementación de políticas y procedimientos Evaluación del estado de la seguridad de la información Administración de medidas de seguridad de múltiples puntos Creación de un entorno de seguridad adaptable
Algunos lectores se preguntarán sobre temas de seguridad que aparecen muy a menudo en las noticias: troyanos, botnet, keylogger, robo de identidades, violación de bases de datos y otros. Todos estos temas se cubren en este capítulo, al menos de manera implícita; pero como este capítulo debe demostrar, la administración de seguridad de la información requiere más que una reacción ad hoc ante las diez peores amenazas de seguridad enumeradas en las últimas ediciones anuales de revistas comerciales.Sin intención de menospreciar las amenazas, especialmente la creciente sofisticación de los botnet, rootkit y engaños phishing, que son amenazas serias; debemos decir que probablemente no constituyan los problemas más apremiantes que enfrentaremos en el futuro. En pocos años, podríamos enfrentar malware que se moverá fácilmente de los servidores a los smartphone, robo de información desde dispositivos de identificación por radiofrecuencia y delitos cibernéticos organizados que comenzarán a nublar la diferencia entre seguridad de la información y guerra cibernética.Las mejores prácticas en seguridad de la información están diseñadas para proteger información, sistemas y activos relacionados ante una variedad de amenazas, incluyendo aquellas que no se comprenden en su totalidad o que todavía no pueden anticiparse. Esto se realiza minimizando los puntos de ataque potenciales mientras todavía se administra la eficiencia y la utilidad de sus sistemas y procesos. Esto requiere que las prácticas de seguridad respalden las estrategias organizacionales generales.
Capítulo 13
291
Alineación de la seguridad de la información con estrategias de negocioLas decisiones sobre la implementación de medidas de seguridad de la información no pueden realizarse en el vacío y ciertamente no pueden realizarse mediante la simple implementación de una lista ajena de políticas y prácticas. Las prácticas de seguridad deben ser coherentes con los objetivos y las operaciones de negocio y, en particular, deben considerar al menos tres factores:
Eficiencia operacional
Cumplimiento
Flexibilidad y adaptabilidadAl igual que la misma práctica de administración de seguridad, estos factores se extienden a la mayoría de, o a todas, las partes de una organización.
Eficiencia operacionalLa presión competitiva surge a partir de una gran cantidad de factores, desde la globalización y la disminución de barreras comerciales, hasta mejoras en la administración de cadenas de suministros e información. Las organizaciones exitosas responden y se adaptan a estas fuerzas de mercado, y las prácticas de seguridad de la información desempeñan una función importante. Las mejores prácticas en eficiencias operacionales incluyen estrategias de defensa en profundidad y prácticas de seguridad orientadas.
Mejores prácticas: defensa en profundidadLas soluciones para la seguridad, que en un primer momento parecen ser un obstáculo para la eficiencia, realmente pueden preservarla. Tome como ejemplo las mejores prácticas de la defensa en profundidad.Las estrategias de defensa en profundidad utilizan muchos de tipos de medidas de seguridad en distintos puntos, dentro de la infraestructura de la información. La suposición subyacente es que cualquier solución simple podría fallar; pero la protección colectiva de medidas múltiples con el uso de técnicas múltiples puede mitigar las vulnerabilidades y limitaciones inherentes. La combinación de soluciones de seguridad puede incluir:
Antivirus basados en la red y en el host
Servidores de seguridad (firewall) personales y de red
Filtrado de contenidos
Prevención de intrusos
Auditoría
Controles de acceso
Administración de identidades
Administración de informes y administración de seguridad consolidados.
Capítulo 13
292
A simple vista, una lista como ésta puede ser intimidante. Cualquier persona que haya trabajado con aplicaciones de negocio y las haya respaldado entiende la complejidad de estos sistemas y el tiempo y los recursos necesarios para mantenerlas. ¿Cómo se puede mejorar la eficiencia operacional al agregar una gran cantidad de soluciones de seguridad a una lista de aplicaciones? La respuesta se encuentra en la estabilidad brindada por estas medidas.La previsibilidad permite flujos de trabajo eficientes y precisos. Dada la combinación de una creciente dependencia de TI basada en comunicaciones de red confiables y confidenciales con ataques cada vez más sofisticados a estos servicios de comunicación; resulta esencial un marco de seguridad integral para mantener operaciones consistentes y fiables.
Mejores prácticas: medidas operacionales específicasLas eficiencias operacionales de las funciones de seguridad pueden mejorarse aún más al considerar:
El soporte del servicio de atención al cliente
La administración de usuarios
El cumplimiento y las auditorías
Los flujos de procesos
La prevención de amenazasPor ejemplo, un gran porcentaje de llamadas al soporte del servicio de atención al cliente se relaciona con problemas de seguridad, tales como el restablecimiento de contraseñas. Las mejores prácticas en eficiencias operacionales incluyen:
Autoservicio para el restablecimiento de contraseñas. Esto puede reducir el costo de los restablecimientos solicitados al servicio de atención al cliente, el cual se estima entre $30 y $60 cada uno.
Mantenimiento de programas anti-malware y anti-software espía actualizados y activos. Los software espía, troyanos y keylogger son amenazas tanto para la seguridad como para la productividad.
Consolidación de administración de identidades para reducir el tiempo necesario para abastecer y desabastecer usuarios.
De todos estos, el cumplimiento y la auditoría son los más importantes con respecto a los objetivos de negocio.
Para obtener más información sobre administración de seguridad y eficiencias operacionales, consulte el capítulo 7.
CumplimientoEl cumplimiento normativo es una responsabilidad global en la organización, pero varios problemas de implementación se encuentran dentro del área de tecnología de la información. Es esencial que las estrategias de negocio originen esfuerzos de cumplimiento, pero al mismo tiempo, las operaciones de TI con respecto al cumplimiento deben ser integrales y adaptables.La mejor práctica más importante con respecto al cumplimiento es mantener un marco integral de seguridad de la información que cumpla con los requisitos de todas las regulaciones relevantes. Las soluciones basadas en silos que apuntan a una única regulación conducirán
Capítulo 13
293
en última instancia a la réplica de dificultades de administración y esfuerzos, a medida que aumenta la cantidad de silos de cumplimiento.
Regulaciones orientadas a la integridadMuchas de las regulaciones más importantes se concentran en preservar la integridad de la información empresarial o en proteger la confidencialidad de la información de individuos. Por ejemplo, algunas de las regulaciones orientadas a la integridad son:
Ley Sarbanes-Oxley Ley Gramm-Leach-Bliley
Basel II
Título 21 del Código de Regulaciones Federales (CFR), Parte 11
Ley sobre el Abuso y Fraude de Computadoras
Ley de Firmas Electrónicas en el Comercio Global y Nacional
Planificación de continuidad empresarial del Consejo Federal de Examen de Instituciones Financieras (FFIEC)
Ley Federal de Administración de la Seguridad de la InformaciónAlgunas de estas regulaciones rigen para una amplia gama de agencias gubernamentales y denegocio, tales como la Ley Sarbanes-Oxley que regula empresas que cotizan en bolsa, y la Ley Federal de Administración de la Seguridad de la Información que rige en varios departamentos federales. Otras se encuentran más orientadas a industrias específicas, tales como el Título 21 del CFR Parte 11 que rige para la industria farmacéutica, y las pautas del FFIEC sobre continuidad laboral que rigen para la industria financiera.De manera similar, las regulaciones surgen de una variedad de fuentes. Algunas son leyes nacionales, como la Ley Sarbanes-Oxley que se aplica a empresas de los Estados Unidos, mientras otras, como la Basel II, se establecen mediante organismos internacionales y rigen transacciones en varios países. Las regulaciones de privacidad también son diversas.
Regulaciones orientadas a la privacidadLas regulaciones de privacidad han surgido durante la última década en muchos países y a partir de una variedad de instituciones gobernantes. Estas regulaciones son:
Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)
Ley de Protección de la Información Personal y los Documentos Electrónicos (PIPEDA), de Canadá
Ley Federal de Privacidad de Australia
Directiva de la Unión Europea (UE) 95/46/EC (directiva de protección de datos de privacidad y comunicaciones electrónicas)
Directiva de la UE 2002/58/EC
Ley 1386 del Senado de California (SB)De la misma manera que las regulaciones de integridad de la información, estas regulaciones varían desde regulaciones específicas de la industria, como la HIPAA que apunta a la industria de atención médica de los Estados Unidos, hasta aquellas de aplicación
Capítulo 13
294
global, como las directivas de privacidad de Australia, Canadá y la Unión Europea. Esta lista de ejemplos también demuestra que los gobiernos de niveles provinciales o estatales, de niveles nacionales y de niveles transnacionales están estableciendo protecciones de privacidad.
Mejores prácticas en cumplimientoMantener al día la variedad de regulaciones es un desafío. Para minimizar las demandas de personal y sistemas de TI, las agencias gubernamentales y las empresas deben establecer marcos de seguridad que cumplan con los requisitos fundamentales de todas las regulaciones y que se adapten a los requisitos específicos de las regulaciones individuales, según sea necesario. Los componentes mínimos de un marco de cumplimiento integral incluyen:
Medidas de seguridad para controlar el acceso a la información, ya sea sobre individuos u operaciones organizacionales
Medidas de seguridad de dispositivo de cliente, servidor y red para proteger los dispositivos y las aplicaciones y para prevenir violaciones
Prácticas de administración de versiones, administración de cambios y administración de parches
Auditorías y monitoreo del estado de la seguridad del sistema
Cifrado de información, especialmente cuando la información se transmite o se almacena en dispositivos como computadoras portátiles, PDA y smartphone
Capacitación en seguridadEsta lista debe considerarse un punto de inicio para un programa de cumplimiento integral, pero debido a la cantidad de gobiernos y organismos de control industrial que establecen regulaciones, es esencial que cualquier marco de cumplimiento y seguridad mantenga la flexibilidad para adaptarse a nuevos requisitos.
Flexibilidad y adaptabilidadDebido a la velocidad constante a la cual cambian las amenazas de seguridad, es muy importante que los marcos de seguridad sean flexibles y adaptables, pero ¿qué significa esto en la práctica? La seguridad flexible no está diseñada para enfrentar un grupo fijo de amenazas. Por ejemplo, el software de antivirus flexible no sólo detecta malware conocido sino que también es lo suficientemente flexible como para detectar variaciones que todavía podrían no tener firmas predefinidas. De manera similar, los sistemas de prevención de intrusos (IPS), que detectan y bloquean formas novedosas de ataque, presentan flexibilidad.La adaptabilidad es un rasgo similar y permite que los profesionales de la seguridad utilicen combinaciones existentes de herramientas para tratar los problemas emergentes. Por ejemplo, los sistemas de control de acceso podrían estar desarrollados para limitar la habilidad del usuario para ejecutar programas y utilizar recursos, pero también podrían utilizarse para registrar intentos de acceso que a su vez son utilizados como parte de un régimen de monitoreo requerido por una nueva regulación gubernamental.Como conclusión, la flexibilidad emerge del diseño de una herramienta; la adaptabilidad es una función de su forma de uso. Las dos son atributos valiosos desde la perspectiva de eficiencia operacional. La eficiencia operacional se basa en la relación entre estrategias de negocio y prácticas de seguridad. Otro grupo de mejores prácticas que sirve para alcanzar las metas de seguridad y los objetivos operacionales son las políticas y los procedimientos bien definidos.
Capítulo 13
295
Políticas y procedimientos de seguridad de la informaciónLos procedimientos y las políticas de seguridad deben apuntar a una amplia variedad de temas, por lo tanto una lista de políticas básicas tiende a ser ad hoc e incoherente. Nuestro enfoque es utilizar el estándar internacionalmente conocido, ISO 17799, como guía para formular políticas. Las áreas más importantes de ISO 17799 son:
Evaluación de riesgos
Política de seguridad
Organización de seguridad de la información
Administración de activos
Seguridad de recursos humanos
Seguridad física y ambiental
Administración de operaciones y comunicaciones
Control de acceso
Adquisición, implementación y mantenimiento de sistemas de información
Administración de incidentes
Administración de continuidad
Cumplimiento
Es necesario destacar que estas categorías no son mutuamente excluyentes y que podría existir una superposición entre éstas. Algunos de los procedimientos y políticas descritos a continuación podrían pertenecer discutiblemente a otra categoría. El punto no es encontrar algún tipo de verdad existencial en este esquema, sino crear un sistema para organizar lo que puede convertirse rápidamente en una lista interminable y poco eficiente de temas. Utilizar la ISO 17799 como punto de partida ayuda a asegurar que se cubran todas las áreas importantes de seguridad de la información.
Evaluación de riesgosDos disciplinas dentro de la evaluación de riesgos son el análisis de riesgos y la evaluación de vulnerabilidades.
Análisis de riesgosLas políticas de evaluación de riesgos deben guiar los procedimientos de mitigación y análisis de riesgos de una organización. Específicamente, dichas políticas deben asegurar que:
Se identifiquen todos los activos de información
Se asignen valores a activos de información
Se documenten amenazas contra los activos
Se identifiquen las vulnerabilidades en aplicaciones, dispositivos y redes
Se aborden evaluaciones cuantitativas y cualitativas de amenazas contra activos
Se prioricen los riesgos en relación con su impacto y probabilidad
Capítulo 13
296
Las evaluaciones cuantitativas de riesgos dependen de los valores de activos, las probabilidades de amenazas, la proporción de una pérdida de activo si se materializa una amenaza y otras medidas. No siempre se encuentran disponibles cálculos precisos y exactos de estos parámetros. En tales casos, las técnicas cualitativas, como el acuerdo entre expertos, pueden utilizarse para categorizar impactos y probabilidades en categorías altas, medias y bajas.
Evaluación de vulnerabilidadesLas evaluaciones de vulnerabilidades exploran aplicaciones, sistemas operativos (SO) y redes para detectar debilidades potenciales que puedan ser explotadas por amenazas. Debe ponerse en vigencia una política que defina:
Tipos de evaluaciones de vulnerabilidades para llevar a cabo
Frecuencia de las evaluaciones
Requisitos de informes
Expectativas de mitigar vulnerabilidadesComo con otras políticas de seguridad, en general, el objetivo de una política de evaluación de vulnerabilidades no es detallar cómo debe llevarse a cabo la evaluación sino qué se debe evaluar y cómo se deben tratar las conclusiones.
Para obtener información actualizada sobre vulnerabilidades, consulte CA Vulnerability Advisor (Asesor de vulnerabilidades de CA), en http://www3.ca.com/securityadvisor. Para obtener más información sobre evaluación de riesgos y administración de vulnerabilidades, consulte el capítulo 4.
Política de seguridadLas estrategias de seguridad se definen dentro de políticas. Ya que esta sección del capítulo está dedicada a los tipos de políticas que deben encontrarse vigentes, es apropiado que uno de los estándares ISO 17999 trate sobre las políticas en sí mismas.Aunque los detalles específicos de políticas de seguridad variarán de acuerdo con los requisitos particulares del área de la política, cada política debe incluir varios elementos esenciales:
Declaración de objetivos
Declaración del alcance
Componentes de la política
Mecanismos de cumplimiento
Definiciones
Referencias y recursos
Capítulo 13
297
Declaración de objetivosLa declaración de objetivos debe definir claramente los objetivos de la política. Por ejemplo, una política de cifrado inalámbrico incluiría una declaración sobre la necesidad de mantener la confidencialidad de los datos del cliente y de proteger los activos intelectuales de la empresa, así como también otras motivaciones estratégicas para dicha política.
Declaración del alcanceLa sección de alcance identifica lo que establece la política y su influencia. Una política de uso aceptable, por ejemplo, podría aplicarse a empleados, contratistas, consultores, socios de negocio y otras personas a las que se otorga acceso a la infraestructura de información.
Componentes de la políticaLos componentes de la política constituyen el centro de la política. En este punto, los autores definen la estrategia de negocio para tratar un problema de seguridad. En algunos casos, la política podría ser medianamente genérica. Una política de correo electrónico podría establecer que sólo los empleados y otras personas con compromisos contractuales a largo plazo con una empresa contarán con cuentas de correo electrónico, que el correo electrónico se utiliza para propósitos de negocio pero que es aceptable el uso personal ocasional, y que todos los mensajes de correo electrónico son propiedad de la empresa, la cual podrá monitorear el uso del correo electrónico de la forma que considere necesario. Otras políticas, como las políticas de cifrado, podrían profundizar en un mayor nivel de detalles técnicos; por ejemplo, identificar algoritmos de cifrado particulares y la longitud de claves.
Mecanismos de cumplimientoLa sección de mecanismos de cumplimiento define las opciones disponibles para la empresa o agencia, en caso de que se viole la política. Estas secciones tienden a ser más bien genéricas y enuncian cosas tales como que:
Los empleados pueden recibir sanciones disciplinarias, inclusive la finalización del empleo.
Pueden revocarse los privilegios para utilizar un servicio, tales como correo electrónico.
Los socios de negocio pueden encontrarse sujetos a sanciones financieras.La sección de cumplimiento es el último de los elementos principales de una política; las últimas dos secciones brindan material de respaldo.
Definiciones, referencias y recursosLa sección de definiciones describe términos técnicos y empresariales. La sección de referencias y recursos es opcional y se utiliza para brindar información previa. Por ejemplo, si una política hace referencia a una regulación particular, la sección de referencias y recursos puede brindar enlaces a información sobre tal regulación.
Capítulo 13
298
Organización de seguridad de la informaciónSe requiere que las estructuras organizacionales formales implementen seguridad de la información. Esto incluye definir roles y responsabilidades dentro de una organización para tratar:
El establecimiento de políticas de seguridad
La supervisión y coordinación de actividades de seguridad
La asignación de responsabilidades específicas a roles dentro de la organización
La coordinación de medidas de seguridad con partes externas, tales como socios denegocio
El establecimiento de políticas de seguridad es generalmente una responsabilidad ejecutiva de administración, que se lleva a cabo con el asesoramiento técnico de un ejecutivo principal de seguridad u otro profesional de TI de alto nivel. El ejecutivo principal de seguridad o su equivalente debe ser responsable de la supervisión; mientras que las responsabilidades específicas se distribuyen entre gerentes de sistemas, administradores de base de datos, administradores de red y otros profesionales de primera línea.
Administración de activosLas políticas de administración de activos tratan la necesidad de compilar y mantener un inventario de activos de información. Esto respalda otras actividades, tales como la administración de riesgos. Los activos se asignan a propietarios que responsables de estos activos pero no necesariamente del mantenimiento diario. Por ejemplo, un director de comercialización podría ser el propietario de una base de datos de comercialización pero un administrador de base de datos podría realizar la administración diaria.Los activos de información deben dividirse en categorías de acuerdo con el nivel de protección que requieren. Los esquemas de clasificación más comunes son:
Activos públicos: la información pública podrá divulgarse sin dañar a la organización, sus clientes o a otros integrantes.
Activos importantes: la información importante no debe publicarse, pero si esto sucediera, podría provocar un daño menor a una organización. Por ejemplo, si se divulgan cronogramas de proyectos, los competidores podrían contar con ideas adicionales sobre los planes de una organización pero no con información suficiente como para poner en peligro la efectividad de los planes.
Activos confidenciales: la información confidencial no puede ser divulgada sin consecuencias adversas significativas para una agencia o empresa; los secretos comerciales son ejemplos de información confidencial.
Activos privados: la información privada es información sobre empleados, clientes, pacientes, constituyentes y otras personas, que si se divulgara, afectaría de manera adversa a esos individuos.
Otra tarea perteneciente a la administración de activos es establecer políticas de uso aceptable para los activos.
Capítulo 13
299
Seguridad de recursos humanosLas políticas de seguridad de recursos humanos rigen la forma en la que la seguridad se administra durante el ciclo de vida de los empleados, desde la contratación y el empleo hasta la finalización de éste. La seguridad de recursos humanos comienza con el proceso de contratación e incluye el control de antecedentes, el control de referencias y la presentación de información sobre políticas y expectativas a los empleados potenciales. Los empleadores deben solicitar a los empleados que firmen acuerdos de no divulgación y no competencia, antes de otorgar el empleo.Durante el empleo, las organizaciones deben brindar capacitación sobre mejores prácticas de seguridad, informar a los empleados sobre los procedimientos y políticas de seguridad y contar con procesos disciplinarios y de revisiones en vigencia para responder ante violaciones de las políticas.La finalización del empleo puede ser un período difícil y es importante que medidas de seguridad adecuadas se encuentren en vigencia para proteger los activos. Se debe solicitar a los empleados que han finalizado su trabajo en la empresa, que restituyan los activos físicos, tales como computadoras, token de seguridad y otros dispositivos. Se deben revocar los derechos de acceso y se debe bloquear el acceso a las cuentas de usuario. El material confidencial debe devolverse a la organización.
Seguridad física y ambientalHistóricamente, la seguridad física y la seguridad electrónica han sido responsabilidades diferentes dentro de la mayoría de las organizaciones. Dos factores están cambiando esta relación. Primero, los cambios en tecnologías, tales como redes inalámbricas, actualmente agregan una dimensión física a la seguridad electrónica. Con un equipamiento adecuado y una gran proximidad, un atacante podría acceder a una red inalámbrica y robar información transmitida a través de la red.Segundo, la información de seguridad física, tal como registros de personas que acceden y salen de áreas seguras, está creciendo en volumen. Además, la información de seguridad física puede incrementar la información de la seguridad electrónica para mejorar la seguridad general. Si un director financiero (CFO) ingresa a un área segura de la oficina central y sólo unos minutos después aparece iniciando sesión en el sistema financiero desde una oficina satelital, la información de acceso podría haber sido robada o podría estar ocurriendo una infracción. Tener acceso a información de seguridad electrónica y física puede mejorar la habilidad de detectar y prevenir violaciones como ésta.En general, las políticas físicas y ambientales deben estar definidas para:
Proteger activos utilizando información de seguridad física y electrónica
Establecer los tipos de controles de acceso físico necesarios para instalaciones particulares
Establecer protecciones adecuadas contra desastres naturales
Controlar la distribución de equipos móviles
Controlar la reutilización y eliminación de equiposLas políticas ambientales y físicas también respaldan la administración de operaciones, la cual es un área diversa y amplia.
Capítulo 13
300
Administración de operaciones y comunicacionesLa administración de operaciones y comunicaciones abarca diferentes áreas:
Planificación de operaciones
Protección contra malware
Protección de activos de red
Establecimiento de procedimientos de recuperación y respaldo
Monitoreo de operacionesCada una de estas áreas dentro de la administración de operaciones y comunicaciones debe contar con políticas establecidas.
Planificación de operacionesLa planificación de operaciones es una de las áreas más amplias dentro de la formulación de políticas debido a que incluye muchas tareas clave:
Planificación de capacidad
Administración de parches
Control de cambios
Planificación de capacidad
La responsabilidad de la planificación de capacidad es poco clara; ningún individuo o grupo puede prever las necesidades a través de medianas operaciones de TI. La planificación de capacidad requiere un conocimiento detallado de estrategias de negocio, rendimiento de aplicaciones, uso actual, además de planes y cronogramas de proyectos. La administración ejecutiva debe establecer políticas que pongan en vigencia un proceso formal de planificación de capacidad para que la información pueda recabarse de todas las partes relevantes de una organización y utilizarse de manera coordinada para establecer una planificación a largo plazo para la infraestructura de la información.
Administración de parches
Las políticas de administración de parches deben definir las condiciones para aplicar parches. La aplicación de parches es una parte esencial de la administración de seguridad y presenta su propio grupo de desafíos:
La interrupción de operaciones para instalar parches
Las dependencias entre componentes de aplicaciones que podrían verse afectados por un parche
La introducción de fallas imprevistas a través de parchesLas políticas de administración de parches deben brindar pautas sobre cuándo (y cuándo no) aplicar parches. Por ejemplo, los parches descritos por los proveedores como cruciales para la seguridad podrían instalarse sin demasiado análisis si la amenaza es importante. Los parches de mantenimiento no relacionados con problemas de seguridad podrían instalarse durante operaciones normales de ciclos de mantenimiento. Las pautas establecidas en las políticas pueden utilizarse para perfeccionar los procedimientos de decisiones para instalar parches.
Capítulo 13
301
Control de cambios
El control de cambios es otra área de planificación de operaciones y, de la misma manera que la administración de parches, trata la naturaleza dinámica de la infraestructura de TI. La administración de cambios es un proceso formal para examinar las consecuencias de un cambio y para preparar de manera adecuada todas las partes afectadas.Las políticas de control de cambios establecen consejos de control de cambios y les otorgan la autoridad de aprobar o denegar cambios en la infraestructura. Los detalles y procedimientos de decisión considerados se dejan en manos de los miembros del consejo de control de cambios; el objetivo de esta política es establecer un proceso.
Protección contra malwareEl malware es una amenaza muy conocida. Los tipos de malware y su sofisticación continúan creciendo. Actualmente, los profesionales de TI deben combatir diferentes tipos de malware:
Virus
Gusanos
Troyanos
Botnet
Rootkit
Keylogger
Software espía
Las políticas de esta área deben especificar los requisitos para el uso de aplicaciones antiespía y antivirus, en la red y a nivel del dispositivo. Las políticas también deben dirigir el desarrollo de procedimientos de corrección.
Protección de activos de redLos activos de red están protegidos por una variedad de políticas:
Política de red privada virtual (VPN)
Política de seguridad inalámbrica
Política sobre el router
Política sobre el servidor de seguridad
Política de prevención de intrusos
Política de filtrado de contenidos
Política de cifrado
La red requiere una variedad de medidas de seguridad. Algunas de ellas, tales como el filtrado de contenidos y los servidores de seguridad, son principalmente defensas de perímetros; bloquean el tráfico no deseado antes de que llegue demasiado lejos dentro de la red. Otras protecciones son dominantes, tales como las políticas de seguridad inalámbrica y cifrado que se aplican al tráfico de la red.La políticas de esta área definen los objetivos de defensa de la red (por ejemplo, preservan la integridad y confidencialidad de la información transmitida a través de la red); así como también
Capítulo 13
302
los principios de alto nivel, tales como todos los puertos de servidores de seguridad que se encuentran bloqueados, a menos que explícitamente necesiten abrirse.
Respaldo y recuperaciónLas políticas de respaldo y recuperación definen los niveles de respaldo requeridos según el tipo de información. Por ejemplo, los datos indispensables pueden requerir replicaciones en tiempo real para asegurar la continuidad de las operaciones, mientras otros datos menos urgentes pueden ser respaldados durante la noche o incluso semanalmente.Las operaciones de recuperación se describen de manera similar en términos de categorías de información. Una política podría describir una recuperación estratificada con recuperaciones indispensables necesarias en un corto período de tiempo (minutos u horas), mientras otras ventanas de recuperación podrían extenderse desde horas a días. No es éste el lugar para definir cómo se cumplen estos objetivos, pero sí para simplemente definirlos y permitir que los profesionales de TI formulen la implementación técnica.
Monitoreo de operacionesLas políticas de monitoreo deben definir los parámetros para monitorear sucesos de red, de aplicación y de operación. Específicamente, las políticas deben incluir:
La discusión de mantener registros de auditorías para aplicaciones y sistemas operativos
El monitoreo de instalaciones físicas
La protección de registros contra la manipulaciónÉsta es otra área de desarrollo de políticas que respalda y, a veces, se superpone con otras. En este caso, el monitoreo de operaciones se superpone con la seguridad ambiental y física.La administración de operaciones y comunicaciones incluye una parte significativa de actividades de TI y respalda una cantidad de otras áreas de la política. Sin operaciones y comunicaciones confiables y establecidas, otras áreas, como los mecanismos de control de acceso, no serían posibles.
Control de accesoLas políticas de control de acceso deben tratar los problemas relacionados con el usuario, así como también aquellos relacionados con la tecnología. Como mínimo, las políticas de control de acceso deben tratar:
La categorización y etiquetado de información
Los procedimientos de control de acceso de usuarios, tales como métodos de autenticación
Las políticas de segmentación de red
Los controles de acceso del sistema operativo
Llos controles de acceso de aplicaciones
Los controles de acceso de instalaciones físicasNuevamente, existe una superposición obvia con otras áreas de la política. Es esencial que los controles de acceso se encuentren alineados con los esquemas de clasificación de información. Por ejemplo, se necesita un mayor control de acceso para proteger información privada y confidencial en relación con la información pública.
Capítulo 13
303
Adquisición, implementación y mantenimiento de sistemas de informaciónLos arquitectos de sistemas y los ingenieros de software han creado ciclos de vida de una aplicación y modelos de sistemas integrales. Las políticas deben definirse para brindar una guía con respecto a la adquisición, implementación y mantenimiento de activos de información, incluyendo la necesidad de una adquisición por etapas basada en:
La planificación y recopilación de requisitos
El análisis y diseño
La implementación
Las comprobaciones
La activación (administración de versiones)
El mantenimientoLos detalles específicos del ciclo de vida y la metodología particular utilizada para el desarrollo de sistemas son menos importantes que contar con una política establecida que respalde y requiera un modelo de implementación controlado y por etapas.
Administración de incidentesLas políticas de administración de incidentes deben centrarse en detectar incidentes, informarlos y controlar los daños causados, tanto los daños inmediatos como los de largo plazo. El objetivo principal de las políticas de respuesta ante incidentes es establecer un procedimiento de respuestas y una jerarquía de informes. Los procedimientos establecidos según la administración de incidentes deben incluir:
El control de daños mediante el aislamiento de los sistemas afectados
La restauración de sistemas funcionales
El aprendizaje a partir del incidente
La preservación de información forense en caso de procedimientos legalesLa administración de incidentes puede superponerse en algunos aspectos con la administración de continuidad.
Administración de continuidadLas políticas para asegurar continuidad empresarial deben incluir:
Requisitos de planificación de continuidad, incluyendo la identificación de eventos que pueden interrumpir las operaciones
Establecimiento de planes de continuidad
Comprobación y revisión de planes de continuidadEl último elemento es uno que se omite fácilmente, pero las comprobaciones y actualizaciones son una parte esencial de las operaciones de continuidad empresarial.
Capítulo 13
304
Política de cumplimientoLas organizaciones pueden contar con amplio criterio con respecto a algunas políticas, tales como el filtrado de contenidos y el bloqueo de URL; si una empresa desea permitir que sus empleados desperdicien su tiempo en sitios de apuestas, así será. Sin embargo, otras políticas se encuentran sujetas a más limitaciones y la auditoría es una de ellas. Las regulaciones, como la Ley Sarbanes-Oxley, exigen controles internos adecuados, lo que a veces se traduce en implementaciones costosas.En términos de mejores prácticas en relación con auditorías, se deben formular políticas de auditoría teniendo en cuenta regulaciones tales como la Ley Sarbanes-Oxley, y como punto de partida, se deben utilizar marcos de administración tales como los Objetivos de control para la información y tecnología relacionada (COBIT).
Para obtener más información sobre COBIT, consulte el material de la Asociación para la Auditoría y el Control de Sistemas de Información en http://www.isaca.org/cobit/.
Las políticas son partes esenciales de cualquier marco de seguridad de la información. Éstas brindan las bases sobre las cuales se construyen la implementación y administración de las medidas de seguridad de una organización. En esta sección se ha utilizado el estándar ISO 17799 como punto de partida para la organización de las políticas. Existen muchos tipos de políticas de seguridad y tratar de desarrollarlas a todas de una sola vez puede ser una posibilidad intimidante. El estándar ISO 17799 brinda una visión integral de las principales áreas de seguridad y, por lo tanto, es una buena guía de referencia para establecer políticas de seguridad.
Para obtener más información sobre ISO 17799 y estándares relacionados, consulte el sitio Web de la Organización Internacional para la Estandarización, específicamente http://www.iso.org/iso/en/prods-services/popstds/informationsecurity.html.
Por supuesto, una vez que estas políticas se encuentren en funcionamiento, existe la práctica de seguridad de la información y una gran cantidad de mejores prácticas relacionadas con la seguridad.
Evaluación del estado de la seguridad integradaA lo largo de esta guía, el tema de la defensa en profundidad ha surgido repetidas veces. Aunque la forma más básica de defensa en profundidad utiliza múltiples medidas de seguridad para tratar riesgos, la forma más valiosa también implica una defensa en profundidad integrada. No sólo se implementan varios medios para proteger activos, sino que se configuran y administran de manera tal que funcionen en conjunto. Esta sección examinará algunos aspectos de la administración de seguridad integrada:
El monitoreo del estado de la seguridad integrada
La administración de vulnerabilidades
Los dispositivos administrados y semiadministrados que van más allá de los servidores de seguridad
Estos temas no cubren todo el alcance de la seguridad integrada pero juntos brindan una imagen de los problemas involucrados en la evaluación del estado de la seguridad integrada.
Capítulo 13
305
Monitoreo del estado de la seguridad integradaEl sello de un sistema de seguridad integrado es la habilidad de recopilar y coordinar datos de múltiples sistemas y utilizarlos para tomar decisiones, cosa que no sería posible sin la integración. Este ideal no siempre se materializa como quisiéramos, pero el proceso de alcanzar el objetivo correcto incluye:
El establecimiento de puntos de partida
La auditoría
La integración de información a partir de múltiples sistemas de seguridad
Establecimiento de puntos de partidaLa toma de decisiones, ya sea sobre estrategias de negocio, administración de operaciones o administración de seguridad, a menudo se basa en cambios marginales. Tome el ejemplo del simple caso de tráfico de red:
Si un router experimenta una carga de 10 Gbps, ¿es eso algo que requiere atención?
Una aplicación de base de datos responde a 10,000 consultas por minuto, ¿es eso una carga inusual?
Un servidor ftp ha recibido 15 Gb en la última hora, ¿es eso inusual?
1200 usuarios han accedido al servidor de correo electrónico en un plazo de 30 minutos, ¿es eso una carga pesada inusual?
En cada caso, la pregunta no puede responderse sin contar con algunas medidas iniciales del rendimiento de la red. En el caso del router, la carga podría ser perfectamente normal en una oficina central o podría indicar un ataque DoS en una pequeña oficina satelital. 10,000 consultas por minuto a una base de datos es un número alto, pero ¿puede esperarse esto? ¿Están los desarrolladores llevando a cabo una prueba de esfuerzo? ¿Es la base de datos un servicio de datos internos para un sitio Web de mucho tráfico? De manera similar, parece inusual que un servidor ftp reciba 15 Gb en una hora, pero podría tratarse de una parte de una gran carga de datos a un almacenamiento de datos que ocurre de forma regular. Finalmente, en el caso de los 1200 usuarios del correo electrónico, todo depende. ¿Cuántos usuarios cuentan con acceso al sistema? ¿Ocurre esto a primera hora de la mañana de un día lunes o a mitad de la noche durante un fin de semana? Se requiere que los puntos de partida de cargas esperadas de aplicaciones y redes entiendan las actividades inusuales y planifiquen las tendencias evidentes en el uso de aplicaciones y redes.
Capítulo 13
306
AuditoríaAuditoría, es este contexto, hace referencia a la recolección de información sobre eventos de aplicación y sistemas significativos (en oposición a los estudios formales llevados a cabo por auditores para evaluar el estado general de la seguridad de una organización). Los sistemas operativos, los sistemas de bases de datos, las aplicaciones y los dispositivos de red pueden llevar a cabo auditorías. Determinar cuánto detalle recolectar es un acto de equilibrio. En general, se comienza con una cantidad mínima de detalles y se agregan más, según sea necesario.Considere un sistema de auditoría de base de datos. Se podría registrar cada operación de lectura, actualización, eliminación e inserción, así como también operaciones de inicio/cierre de sesión y los cambios en las estructuras de base de datos. Esto puede generar grandes volúmenes de datos que son difíciles de analizar; por ejemplo, los eventos más importantes tales como cambios en las estructuras de bases de datos, fallas de inicio y cambios en las tablas cruciales.Además, se verifican puntos en los cuales se pierde información potencialmente útil. Por ejemplo, si una aplicación combina las conexiones de bases de datos, múltiples usuarios podrían utilizar una única conexión; por lo tanto la actividad en la base de datos no se registra para un usuario específico sino para un recurso compartido. En este caso, podría existir una necesidad de utilizar la auditoría de aplicaciones junto con la auditoría de base de datos. Éste es un ejemplo del problema más general con respecto a integrar información de varios sistemas.
Integración de información de múltiples sistemasCon los puntos de partida establecidos, el próximo paso es integrar los datos de seguridad a partir de múltiples sistemas. A menudo, los datos provenientes de un único sistema brindan sólo una imagen parcial de la situación. Por ejemplo, saber que la usuaria Jane Doe ha fallado en su intento de autenticación en el sistema de cuentas por pagar podría ser de poco interés si Jane trabaja en el departamento de cuentas por pagar y ha tipeado incorrectamente su contraseña; sin embargo, si Jane trabaja en comercialización, que se registra en el directorio de protocolo ligero de acceso a directorios (LDAP), el evento podría ser significativo.La integración de la información es difícil y los problemas varían en complejidad. En un extremo del espectro se encuentran los problemas relativamente simples, tales como la sincronización de relojes en servidores y otros dispositivos de red. En el otro extremo se encuentran los desafíos tales como determinar si aumentos aleatorios evidentes en el tráfico de salida de una gran cantidad de PC dentro de la red son verdaderamente aleatorios o son indicativos de un botnet que distribuye spam de maneras que no llamen la atención. En ese caso, es necesario conocer adonde se dirige el tráfico de salida, qué eventos han sido registrados por el software de antivirus en dichas PC y si son vulnerabilidades conocidas, comunes a esos dispositivos.Los sistemas de administración de información sobre seguridad (SIM) pueden tratar estos problemas al recolectar y analizar datos a partir de múltiples fuentes:
Sensores de red
Servicios de autorización y autenticación
Sistemas anti-malware
IPS
Servidores de aplicación
Servicios de administración de vulnerabilidades y activos
Capítulo 13
307
Dispositivos de seguridad y servidores de seguridadLos sistemas SIM son tecnologías emergentes y sin ninguna duda se convertirán en un componente integral para los marcos de seguridad. Estos dispositivos pueden brindar una alerta y un informe coordinados, lo que no es posible con soluciones a un punto único.
Para obtener más información sobre SIM, consulte el capítulo 4.
Otro aspecto de la evaluación del estado de la seguridad integrada es entender las vulnerabilidades de la infraestructura.
Administración de vulnerabilidadesLas mejores prácticas en administración de vulnerabilidades se basan en el ciclo de vida de la administración de vulnerabilidades. El proceso comienza con el monitoreo de vulnerabilidades conocidas y la referencia a aquellas con una infraestructura de organización. El monitoreo debe apuntar a la arquitectura de sistemas, configuraciones, aplicaciones, sistemas operativos y configuraciones de hardware. Este tipo de monitoreo puede realizarse mediante investigación ad hoc, monitoreo de redes y monitoreo basado en agentes.Una vez que se identifican las vulnerabilidades, se asocian con activos y se priorizan. Las consideraciones de negocio y técnicas entran en juego al momento de priorizar las vulnerabilidades. Deben considerarse varias preguntas:
¿Qué servicios clave están amenazados?
¿Se encuentran comprometidos los dispositivos y las aplicaciones cruciales?
¿De qué manera se alteran los servicios debido a la aplicación de parches?Según las respuestas a estas preguntas, se establece y se prueba un plan de corrección. Luego de la implementación, deben continuar el monitoreo y los informes.
Si desea obtener información detallada sobre administración de vulnerabilidades, consulte el capítulo 3.
Las vulnerabilidades del día cero no se adaptan a este modelo porque, por definición, la vulnerabilidad es desconocida para los proveedores y desarrolladores hasta que es explotada. Este tipo de vulnerabilidades es una de las justificaciones más claras para la implementación de estrategias de defensa en profundidad: existen debilidades inherentes en dispositivos y aplicaciones individuales que deben ser compensadas con otros dispositivos y aplicaciones. Actualmente, el estado de la seguridad integrada se extiende más allá de problemas tales como integración de la información y administración de vulnerabilidades para incluir desafíos con dispositivos administrados y semiadministrados utilizados más allá de los servidores de seguridad.
Capítulo 13
308
Dispositivos administrados y semiadministrados que van más allá de los servidores de seguridadEntender la situación de seguridad de una red se hace más difícil debido al uso de dispositivos que van más allá de los servidores de seguridad. Por ejemplo, las computadoras portátiles utilizadas en oficinas centrales o en lugares externos no siempre cuentan con el beneficio de dispositivos de seguridad de red. Una computadora portátil que utiliza una VPN para acceder a una red corporativa contará con el beneficio de filtros de contenido, IPS y otros servicios; pero cuando la misma computadora utiliza una red inalámbrica no cifrada en un café local, la situación es completamente diferente. Los dispositivos móviles deben contar con niveles suficientes de protección para funcionar en entornos inseguros y no controlados.Los desafíos son mayores cuando se incorporan dispositivos móviles, tales como smartphone, y dispositivos de consumo, tales como iPod. Parte del problema surge a partir del control:
¿Pueden los empleados descargar información importante y confidencial a dispositivos personales?
Si pueden hacerlo, ¿qué requisitos utilizan los empleados para proteger dichos dispositivos?
¿De qué manera se aplican estos requisitos?
¿Cuentan estos dispositivos con las características de seguridad requeridas (por ejemplo, un buen cifrado)?
¿Cómo puede una organización asegurar que la información importante y confidencial se elimina de los dispositivos semiadministrados cuando un empleado termina su trabajo en la empresa?
Como mínimo, las organizaciones deben desarrollar políticas que abarquen estas preguntas y que aseguren que empleados, contratistas y socios de negocio reciban capacitación sobre procedimientos y políticas relevantes. La administración de seguridad integrada requiere medidas técnicas y de administración. Uno de los desafíos clave que enfrentan los profesionales de seguridad es entender el estado de la seguridad, desde dispositivos administrados dentro del perímetro de una red hasta dispositivos móviles semiadministrados. Otra dimensión de la complejidad de la administración surge del uso de soluciones de múltiples puntos.
Administración de soluciones de múltiples puntosEvidentemente, ninguna aplicación o herramienta simple de seguridad puede cumplir con todas las necesidades de una organización, ni siquiera de un único usuario. Tome el ejemplo de las soluciones de antivirus.
Ventajas de las soluciones de múltiples puntosEl software de antivirus funciona en una computadora de escritorio de la misma manera que en la red. Cuando los dispositivos se conectan a una red con servicios de escaneo de antivirus, puede detectarse malware, aun antes de que éste alcance el dispositivo. En caso de que alguna forma de malware evada la detección de la red, existe una posibilidad de que la solución de antivirus de la computadora de escritorio lo detecte, especialmente si la versión de la computadora de escritorio utiliza una técnica de detección o algoritmo diferente. Cada tipo de sistemas de antivirus tiene sus ventajas.
Capítulo 13
309
Por ejemplo, el escáner antivirus de la red podría tener acceso a los datos de tráfico de la red, que pueden utilizarse para tomar decisiones sobre la puesta en cuarentena de presunto malware. Los dispositivos de cliente pueden tomar ventaja de las técnicas de análisis de comportamiento al simular la ejecución de un código.Las soluciones de múltiples puntos son comunes y conllevan beneficios significativos, principalmente una cobertura integral. Existen debilidades que se presentan junto con las soluciones de múltiples puntos.
Informe de desafíos con soluciones de múltiples puntosLa desventaja más significativa es la dificultad de integrar información de soluciones de múltiples puntos. Los proveedores han comenzado a ofrecer paquetes de herramientas que incluyen informes consolidados. Esta es una solución parcial pero en última instancia, para obtener el mayor beneficio, se necesita un sistema SIM que consolide datos de soluciones múltiples brindados por varios proveedores. Los estándares de intercambio de información de seguridad facilitarán el desarrollo y la incorporación de soluciones integrales de informe y administración.Idealmente, los sistemas de seguridad se planifican teniendo en cuenta la integración, pero otras consideraciones empresariales pueden superar esas mejores prácticas de adquisición de sistemas. Por ejemplo, las fusiones y adquisiciones pueden crear situaciones en las cuales múltiples sistemas brindan los mismos servicios y éstos deben ser coordinados debido a la repentina expansión de una red corporativa. Nuevamente, al centrarse en administración e informes estandarizados, los administradores de seguridad pueden minimizar la interrupción de procesos y sistemas existentes mientras aún se extrae valor adicional de, al menos, algún tipo de integración.Una de las características constantes de la administración de seguridad es su naturaleza dinámica. A veces, los cambios se encuentran relacionados con las operaciones de negocio, tales como fusiones y adquisiciones; otras veces surgen debido a innovaciones en la tecnología de la seguridad, como el surgimiento de sistemas SIM; y otras veces estos cambios se originan en la naturaleza de las amenazas. Independientemente de la manera en que se introduzcan, está claro que una administración de seguridad exitosa se basa en la adaptabilidad.
Resumen: Creación de un entorno de seguridad de información adaptableUn entorno de seguridad adaptable se basa en la apreciación de cambios en tecnologías y amenazas, así como también en el uso de estándares de seguridad. Algunas amenazas son relativamente constantes, tales como la posibilidad de desastres naturales, mientras otras cambian en respuesta a las oportunidades percibidas. Los virus y gusanos pueden encontrarse relativamente bien contenidos y los atacantes son conscientes de esto. Actualmente, estamos siendo testigos del creciente uso de troyanos, botnet y software espía para controlar recursos y robar información valiosa. La combinación aparente de desarrolladores de malware y crimen organizado ciertamente está contribuyendo con el aumento de robo de información personal y de engaños phishing. Además de la administración cotidiana de la infraestructura de seguridad existente, también se deben entender estos tipos de tendencias.Las tendencias fuera del campo de la seguridad pueden extenderse fácilmente. Los cambios en el comportamiento del consumidor, como la amplia incorporación de Blackberry, iPods y smartphone, introducen nuevos desafíos para la seguridad de las empresas. Estas tendencias afectan los servicios técnicos y de administración. Las políticas deben formularse para que los
Capítulo 13
310
usuarios entiendan los límites de uso y las responsabilidades que conlleva el almacenamiento de información confidencial e importante en dispositivos personales.
Capítulo 13
311
Otra tendencia que tiene implicaciones para los gerentes de seguridad es el aumento de servicios Web 2.0, como la colaboración y los sitios de red sociales. Estos sitos no sólo pueden convertirse en puntos potenciales de filtraciones de información como cuando los empleados, tal vez de manera inadvertida, divulgan información en sitios Web públicos; además, la popularidad de estos sitios es atractiva para los atacantes que apuntan a sitios como MySpace.com. Utilizar tales sitios puede presentar oportunidades a los atacantes para comprometer activos informáticos.Un elemento final para considerar al momento de lidiar con la adaptabilidad es la importancia de los estándares de seguridad. La administración de identidades, el control de acceso, la interoperabilidad de aplicaciones y la protección de infraestructura son todas áreas clave de administración de seguridad y pueden ser de más utilidad si se incorporan estándares. Las organizaciones como W3 y OASIS trabajan con estándares para respaldar la interoperabilidad y para asegurar nuevos modelos de programación y tecnologías, como aplicaciones de Internet sofisticadas (RIA). Dichos estándares deben promoverse y adoptarse a medida que se desarrollan.La administración de seguridad siempre ha sido dinámica y de amplio alcance. Las tendencias recientes no muestran indicios de que este patrón vaya a cambiar. De hecho, el porcentaje de cambio probablemente aumente. Las prácticas sólidas, tales como seguridad de defensa en profundidad y SIM consolidado, combinadas con la percepción de tendencias emergentes en tecnologías y amenazas, son la base de mejores prácticas de seguridad.