Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Seguridad que funciona: Tres fundamentos de seguridad corporativa que debe tener

Eric Cole, del SANS Institute, desafía a los profesionales de InfoSec a evaluarse en los aspectos fundamentales de un programa de seguridad exitoso.

Cada hora de cada día, una organización se ve comprometida. Las violaciones de datos siguen apareciendo en titulares con historias que ponen de relieve los errores que cometen las organizaciones al implementar su seguridad. Estos artículos se centran continuamente en lo que las organizaciones están haciendo mal. Después de leer varias de estas piezas, es fácil perder la esperanza, ya que parece que no importa lo que las organizaciones hagan y cuánto dinero gasten, es poco lo que se puede hacer para proteger la información crítica.

La buena noticia: no se ha perdido toda la esperanza. Hay muchas tácticas que se pueden utilizar para proteger y defender un negocio. De hecho, muchas organizaciones están implementando tecnologías y políticas de seguridad eficaces que funcionan hoy en día; es solo que nosotros no estamos escuchando acerca de ellos.

Esa es la razón de esta columna, dar a conocer los métodos de seguridad que funcionan. Cada mes  proporcionaré técnicas específicas para mejorar la seguridad de la información que una organización puede implementar para reducir el riesgo general de un compromiso. Éstos son algunos de los conceptos de seguridad voy a discutir en futuras columnas:

  • Zonas libres de cifrado
  • Aislamiento de aplicaciones
  • Métricas de seguridad eficaces
  • Escalamiento de listas blancas de aplicaciones

Si bien estos conceptos parecen tener poco en común, ofrecen un valor sorprendente y que, sin embargo, siguen infrautilizados en las empresas actuaes. Esa es una tendencia que esta columna aspira a cambiar.

Evalúese a sí mismo en los fundamentos de seguridad

Para esta primera columna, echemos un vistazo a uno de los secretos para el éxito en la implementación de sistemas de seguridad escalables. A pesar de que los profesionales de seguridad durante mucho tiempo han dicho que no hay una “bala de plata” cuando se trata de la seguridad de la información, las organizaciones continúan buscando un camino rápido y fácil hacia la seguridad efectiva. Por ejemplo, cuando se desarrollaron los firewalls de siguiente generación, las organizaciones rápidamente los desplegaron pensando que las defenderían contra todas las amenazas persistentes avanzadas. Aunque los firewalls de nueva generación pueden añadir una capa de defensa eficaz, deben estar diseñados y configurados correctamente. A pesar de la publicidad de la industria, no pueden detener todos los ataques por sí solos.

En realidad, no hay una solución rápida cuando se trata de seguridad. La seguridad debe ser construida correctamente, lo que significa tener una base adecuada. Una razón por la que muchas organizaciones sufren infracciones perjudiciales es porque no construyeron el núcleo adecuado que se necesita para una seguridad efectiva. Una organización puede gastar millones de dólares en seguridad, pero sin las tecnologías clave en su lugar, va a perder. Por lo tanto, en lugar de seguir invirtiendo más dinero en seguridad, las organizaciones deben primero evaluar sus posturas de seguridad.

Aquí está el momento de la verdad. Saque un lápiz y dé a su organización una calificación en cada una de las tres áreas siguientes:

  • Inventario de activos
  • Gestión de configuración
  • Control de cambios

Si va a implementar plenamente el artículo dentro de su organización, póngase una A; si usted está haciendo esto parcialmente, dése una B-/ C +; y si usted no está haciendo efectivamente esto, dése una F. Si su puntaje está por debajo de una B en cualquiera de las áreas, deténgase.

Haga estos artículos una prioridad en su plan de trabajo de seguridad. ¿Por qué estas tres áreas tienen una importancia fundamental para la seguridad de la empresa? Si una organización no entiende lo que está en su red, cómo está configurada, y cuándo y por qué ocurren los cambios, sin importar que más haga, perderá. Si nos fijamos en todas las principales brechas, se dará cuenta de que siempre hay una falla fundamental en estas tres áreas.

Si su organización no tiene formas robustas de controlar y gestionar activos, y no está en su plan de trabajo de seguridad, debe volver a evaluar su plan de trabajo para asegurarse de que se centra en las áreas correctas. Tres preguntas le ayudarán a verificar si su seguridad está alineada con el negocio. Antes de gastar un dólar de su presupuesto o una hora de su tiempo en cualquier cosa en nombre de la seguridad, siempre debe responder a las siguientes preguntas:

  1. Cuál es el riesgo?
  2. ¿Es el riesgo de prioridad más alta?
  3. ¿Es la manera más rentable de reducir el riesgo?

Si no puede responder a estas tres preguntas, entonces no está enfocado en las áreas apropiadas en materia de seguridad. Estas preguntas también son una gran manera de verificar si su hoja de ruta de seguridad está alineada con su organización.

Esta es su tarea: Tome su hoja de ruta de seguridad actual y los proyectos que está haciendo para mejorar la seguridad, y póngalos en una hoja de cálculo. Agregue tres columnas en la hoja de cálculo, alineándolas con las tres preguntas anteriores. ¿Puede responder a estas preguntas para cada artículo en su hoja de ruta? Si puede, felicitaciones; está administrando estos fundamentos de seguridad empresarial de manera muy parecida a las organizaciones que están ganando. Sin embargo, si no puede responder a estas preguntas, le advertimos: Puede haber una brecha en su futuro.

Acerca del autor: Eric Cole, Ph.D., es un reconocido experto en seguridad, con más de 20 años de experiencia práctica. Dr. Cole es el fundador y líder ejecutivo de Secure Anchor Consulting, donde ofrece servicios de consultoría de seguridad informática de vanguardia, trabajo de perito y lidera las iniciativas de investigación y desarrollo para avanzar en el estado-del-arte en la seguridad de sistemas de información. Dr. Cole fue el único nuevo miembro en el Salón de la Fama Europea InfoSec en 2014. Participa activamente con el Instituto Tecnológico SANS (ITS) y es profesor senior en SANS y autor de cursos que enseña, trabaja con los estudiantes, y desarrolla y mantiene el contenido decursos.

Este artículo se actualizó por última vez en septiembre 2014

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close