· 15% de los ataques ocurren sin saber siquiera que fueron atacados atacado
· Toma 30 segundos robar la información de un servidor de tamaño mediano
· 78% de las compañías no tiene plan de seguridad en sistemas
· 20% de las compañías tienen medidas de seguridad suficientes para defenderse de un ataque
· 70% de las compañías están atrasados en sus planes la instalación de soluciones de seguridad y parches.
· 75% creen que las bases de datos automáticamente protegen la información.
Independientemente del giro de cada empresa, las áreas deben incluir un presupuesto para cubrir temas de seguridad, sea como parte del ciclo de vida de un proyecto, sea como parte del sistema en su conjunto.
Es de dominio público que ya existe un mercado negro donde se ofrecen bases de datos de clientes, números de tarjetas bancarias y datos sustraídos de fuentes que en muchos casos ignoran que fueron asaltados. Son incidentes que puedan tener consecuencias muy graves y que requieren respuesta.
El tema central es que las organizaciones creen conciencia para evitar prácticas cotidianas toleradas, que aparentemente no tienen importancia, pero que podrían lastimar sus intereses más preciados de una empresa. Con la nueva ley que protege los datos personales, esto todavía podría ser peor.
RECOMENDACIONES
1. Segregar funciones a través de la asignación adecuada de los accesos con base en las responsabilidades de cada puesto de trabajo.
2. Identificar y monitorear las transacciones cuyo acceso permita la creación, consulta y modificación de información crítica, secreta y confidencial de negocio; por ejemplo, formas de productos, estructura organizacional, cartera de clientes y proveedores, aprobaciones de presupuestos y órdenes de compra, acceso a estados financieros, configuración de apertura de mandantes, asignación de roles y perfiles y tablas de las bases de datos
3. Implantar controles de seguridad a nivel de la infraestructura incluyendo instalación de actualizaciones periódicas de seguridad a nivel sistema operativo, bases de datos, IPS, firewalls y con ejercicios continuos de penetración, pero evitando la explotación de vulnerabilidades.
4. Administrar identidades (usuarios-empleados internos/externos) con base en los procesos de alta (ingresos), baja (despidos y término laboral) y cambios de empleados (promociones y transferencias). También hay que gestionar el adecuado control de acceso local o remoto a través de formatos de formatos de usuarios y contraseñas, configuración de cuentas, activación, desactivación, bloqueo, desbloqueo, eliminación.
5. Realizar auditorías a través de ejercicios continuos de revisión del cumplimiento de los marcos normativos de seguridad de la organización y mejores prácticas.
6. Revisar contratos con terceros que provean los servicios de arrendamiento de infraestructura, consultoría; soporte y operación con penalizaciones que compensen la pérdida o robo de información por impactos económicos al negocio, asociados a la pérdida de clientes, ingresos, reputación, credibilidad, etc.
7. Administrar y controlar riesgos asociados a los procesos de negocio soportados.
8. Configurar la seguridad a nivel aplicación políticas de complejidad de contraseña, número máximo de sesiones permitidas, modificación de contraseñas de usuarios administración de grupos de usuarios, asignación adecuada tipos de usuario.
9. Conformar un equipo de respuesta a incidentes y un procedimiento donde se expliquen las acciones para contener, remediar y para rastrear a quien resulte responsable por robo o alteración de datos.
10. Revisar el ciclo seguro de desarrollo bajo normas de ingeniería de software que impiden los accesos no autorizados a la información.
11. Ejecutar procesos y procedimientos de respaldo y recuperación de información de forma efectiva.
12. Realizar un programa de concientización, capacitación, educación de seguridad de la información para los empleados, comunicar adecuadamente los temas competentes al personal interno, externo y a proveedores sobre la importancia de salvaguardar la integridad y confidencialidad de la información.
13. Realizar un procedimiento disciplinario para sancionar el incumplimiento a políticas de seguridad de la información.
14. Contar con un plan perfectamente documentado para recuperación de los sistemas y su información en caso de desastre, de ser posible un sitio espejo que asegure la continuidad del negocio pese a un ataque.
15. Certificarse en ISO 27000 como unidad y a todo el personal posible en ITIL Foundation. Con la idea en mente de tener auditores internos y gente que conoce de estándares internacionales a la vez que están a cargo de la operación del día con día.
Fernando Thompson 
Deja un comentario