6 prácticas adecuadas para la Seguridad de la Información


Por Leonardo Gambino, Community Manager de Softtek Sudamérica Hispana

Estudios han demostrado que el 94% de las organizaciones se ha enfrentado al menos a un incidente de ciberseguridad en el año pasado y se estiman daños promedio por incidente de $ 720,000 dólares.

Los resultados de dichos estudios indican que las empresas ahora reconocen que la amenaza de un Seguridad de Información, Prácticas adecuadasataque dirigido es muy real y podría ser muy perjudicial para su organización. Sin embargo, el número de empresas que están tomando acciones para proteger su organización de este tipo de ataques sigue siendo alarmantemente bajo.

Leonel Navarro, Information Security Practice Director Softtek, es el responsable de elaborar un reporte bimensual con la información mas relevante relacionada a la seguridad de Información. En el último reporte, destaca 6 prácticas operativas para evitar una brecha de seguridad:

1. Implementar un proceso formal / documentado para la eliminación de información en medios digitales

Una empresa debe tomar todas las medidas razonables para destruir los registros de un cliente dentro de su custodia o control para asegurarse que nadie acceda a la información personal de ese cliente. 

2. Implementar el cifrado completo de disco en las lap-tops de la compañía

La tendencia actual es el uso de dispositivos móviles para acceder, manejar y almacenar datos, por eso es crucial implementar controles de seguridad en este tipo de dispositivos. Para computadoras portátiles específicamente, es aconsejable implementar el cifrado de disco completo para proteger todo lo almacenado en una unidad de disco en caso de que la unidad se pierda o sea robada. Esto también puede también proteger los archivos temporales, archivos borrados y/o los archivos de la memoria incluso en caché.

Con el cifrado de disco completo, el usuario no tiene la necesidad de elegir si un archivo será cifrado o no. Esto es importante para las situaciones en las que los usuarios pueden no querer o quizás se olviden de cifrar determinados archivos confidenciales.

3. Establecer una auditoría anual de TI interna / externa

Los proveedores deben, como mínimo, someterse a una auditoría anual de TI para asegurar que sus controles de seguridad de TI se ejecutan como se esperaba por la empresa y también para ser capaces de identificar los nuevos fallos de seguridad.

Se recomienda contar con una empresa de auditoría externa que lleve a cabo este tipo de examen para obtener un punto de vista complementario de los especialistas en seguridad de TI.

4. Establecer controles para bases de datos y sistemas operativos

La supervisación de los sistemas de bases de datos y de funcionamiento cubren una amplia área de controles de TI que una empresa debe tener, lo que incluye: controles de acceso, auditoría, autenticación, encriptación, controles de integridad, copias de seguridad, vigilancia y más.

Se recomienda tener una prueba de penetración realizada con bases de datos para identificar cualquier falla de seguridad que puedan presentarse; de esta manera usted puede saber si el proveedor tiene los controles adecuados o no.

5. Documentar un proceso efectivo para proteger las cuentas de alto privilegio

Este ítem se enfoca en que el proveedor debe tener los controles de seguridad adecuados para la gestión de las cuentas que se catalogan como "especial" o que requieren permisos adicionales en comparación con una cuenta de usuario normal (por ejemplo, la cuenta de administrador).

Estos controles de seguridad cubren una variedad de áreas, tales como definir: procesos para el aprovisionamiento / desaprovisionamiento, procesos de auditorías en curso que tienen una política de uso de la contraseña definida y la sensibilización de los empleados sobre el uso adecuado de este tipo de cuentas.

6. Realizar una evaluación de vulnerabilidades de red externa 

Algunos de los principales fallos de seguridad de hoy en día vienen de dentro de la red y esto se basa en no tener los controles de seguridad adecuadas en el lugar. Esta zona es muy específica por la naturaleza y cubre muchas áreas de seguridad; por lo tanto, se recomienda que los proveedores pasen por una evaluación de vulnerabilidad externa para garantizar que los especialistas de TI puedan evaluar y reportar los fallos de seguridad existentes de la red del proveedor.

Hay una variedad de mecanismos de prueba (manuales y automáticas) y de herramientas utilizadas para llevar a cabo una evaluación de la vulnerabilidad de la red, por lo que se sugiere que una empresa independiente debe evaluar la red del proveedor.

De esta forma, sintentizamos los lineamientos básicos que una compañía debe considerar en función de la seguridad de su información y sobre la empresa proveedora de ese servicio.

Para más información, descargue el último reporte sobre Seguridad de Información.