10 buenos hábitos de seguridad para mantener su organización segura

Las empresas que tienen éxito en la seguridad de la información comparten buenos hábitos. Aquí le compartimos los 10 esenciales.

Durante mi carrera de 18 años proporcionando servicios de seguridad de la información a una amplia variedad de organizaciones, he visto a muchos que hacen bien la seguridad de la información –identificando y priorizando correctamente los riesgos, protegiendo adecuadamente los datos críticos y mitigando rápidamente las brechas de seguridad– y a muchos que no.

Las organizaciones que tienen buenos hábitos de seguridad ("organizaciones seguras") comparten ciertos rasgos de los que carecen las organizaciones que no hacen bien la seguridad de la información ("organizaciones inseguras").

En este consejo, veremos las 10 principales características de las organizaciones seguras.

10 principales buenos hábitos de seguridad de las organizaciones seguras

1. En las organizaciones seguras, la seguridad de la información es soportada por la alta dirección. El apoyo incluye poner recursos y presupuesto disponibles para la seguridad de la información, así como declaraciones claras de la alta dirección de que la seguridad informática es una prioridad para la organización. Ya que los altos directivos establecen prioridades y marcan la pauta para una organización, es difícil ser una organización segura sin su apoyo claro y consistente. Como resultado de la reciente oleada de violaciones de seguridad de alto perfil, la mayoría de los altos directivos ahora entienden la importancia de la seguridad de la información y apoyarán los esfuerzos enfocados hacia este tema.

2. Las organizaciones seguras identifican y documentan con regularidad cómo los datos sensibles –del cliente y/o propietarios– fluyen hacia, a través y fuera de la organización. Esto permite a una organización enfocar su tiempo, esfuerzo y dinero en la protección de sus datos confidenciales. Por el contrario, es difícil para una organización proteger aquello de lo que no sabe nada, y las organizaciones luchan para proteger sus datos si no realizan este ejercicio.

3. Las organizaciones seguras crean y mantienen un inventario formal, documentado de todos los sistemas que procesan, transmiten o almacenan datos sensibles –incluyendo el sistema operativo, si es físico o virtualizado, y qué aplicaciones principales han sido instaladas. Sin dicho inventario, una organización no puede entender completamente qué sistemas debe proteger. Tener un inventario de este tipo permite a una organización determinar rápidamente si una vulnerabilidad de seguridad en particular es relevante para los sistemas de la organización.

4. Las organizaciones seguras separan los sistemas sensibles de los sistemas no sensibles a través de servidores de salto, reglas del firewall, ACL routers o switch VLANs. Esto minimiza la superficie de ataque para los sistemas sensibles de una organización y permite que el acceso a los sistemas sea muy controlado y registrado.

5. Las organizaciones seguras tienen un fuerte proceso de control de cambios que se hace cumplir rigurosamente. Los cambios, incluyendo los cambios de emergencia, son totalmente documentados y luego formalmente revisados y aprobados. Los cambios no aprobados pueden llevar a vulnerabilidades de seguridad de las que nadie sabe hasta que hay una brecha.

6. Las organizaciones seguras tienen un fuerte proceso de gestión de la configuración. Los sistemas sensibles se endurecen y se construyen solo con la funcionalidad necesaria a través de un proceso de construcción automatizado o una herramienta de software de configuración gestionada como Puppet o Chef. Después de la construcción inicial, las herramientas de software de configuración, que comprueban regularmente la configuración de los sistemas, se utilizan para asegurar que los sistemas permanecen endurecidos o se utiliza un control fuerte de cambios para mantener la configuración del sistema y evitar el desplazamiento del servidor.

7. Las organizaciones seguras almacenan tan poca información sensible como sea posible en sus sistemas. La información confidencial que debe mantenerse por razones de negocios o legales se almacena en el menor número de sistemas posible por una política de retención de datos formal y documentada y se elimina de forma segura cuando ya no son necesarios. Toda la información sensible almacenada se revisa y se justifica con regularidad.

8. Las organizaciones seguras cifran fuertemente los datos sensibles almacenados y transmitidos y tienen sólidos procedimientos y procesos de gestión de claves de cifrado. Correctamente implementados y gestionados, los datos fuertemente encriptados son esencialmente "indescifrables" y no se pueden utilizar por un atacante.

9. Las organizaciones seguras recogen y revisan sistemáticamente los registros de sus sistemas sensibles. Los scripts o procesos automatizados se utilizan para buscar registros recopilados para eventos predefinidos, como cuando se agregan nuevas cuentas. Cuando se detectan este tipo de eventos, se envía una alerta al empleado (s) apropiado que luego investiga el caso.

10. Las organizaciones seguras prueban regularmente sus sistemas sensibles en busca de vulnerabilidades a través de análisis de vulnerabilidad o pruebas de penetración. Hecho de manera correcta y con regularidad, tales pruebas proporcionan una confirmación del "mundo real" de que los controles de seguridad de una organización están funcionando. Si una organización no está poniendo a prueba sus defensas, los hackers probablemente hagan la prueba –y ellos no van a reportar los resultados.

Conclusión

Los 10 buenos hábitos de seguridad anteriores pueden hacer –y mantener– segura a una organización. Con una planificación y un diseño cuidadosos, las características pueden volverse parte de la organización sin tener que comprar o implementar tecnología cara y lujosa.

Sobre el autor: Steven Weil, CISSP, CISA, CISM, CRISC, QSA es un consultor de seguridad independiente. Él tiene 18 años de experiencia en el diseño, implementación y evaluación de la seguridad de la información. Ha prestado servicios de seguridad de la información a una amplia variedad de organizaciones, incluyendo agencias gubernamentales, hospitales, universidades, pequeñas empresas y grandes empresas.

Investigue más sobre Gestión de la seguridad