Consejos sobre la Administración de Seguridad para Aspirantes a Gerentes TI

11 05 2007

Su organización lo elige a usted, Gerente TI, para que implemente una estrategia de seguridad que proteja al negocio y a los clientes de eventuales ataques. Según cuan efectiva y proactiva sea, su respuesta causará un mayor o menor impacto en su carrera. De hecho, el éxito depende del establecimiento de políticas, procedimientos, y de una buena comunicación con los gerentes de negocios.

En Síntesis:

Desarrolle una estrategia bien definida que incluya la participación de los accionistas.
Desarrolle el marco apropiado para administrar seguridad, a través de políticas, procedimientos, programas y listas de verificación.
Enfatice la capacitación y la comunicación.

A esta altura, la mayoría de los gerentes TI y CIOs reconocen que la seguridad es una de las responsabilidades más importantes que deben asumir, ya que las amenazas y los ataques se han convertido prácticamente en un lugar común. Según la Encuesta sobre Informática Criminal realizada en 2005 por el FBI (en inglés), el 87 por ciento de las organizaciones radicadas en los Estados Unidos han experimentado algún tipo de incidente de seguridad en 2005. Casi el 20 por ciento de las organizaciones encuestadas enfrentó 20 o más incidentes. Mientras tanto, un estudio realizado por PricewaterhouseCoopers, CIO y CSO con relación a ejecutivos senior oriundos de 50 países encontró que sólo un 37 por ciento posee una estrategia general de seguridad en marcha.

En un contexto cambiante y arriesgado para los negocios actuales, es muy importante que el área TI efectivamente asegure los sistemas, proceso que consume tiempo y dinero. Sin embargo, al mismo tiempo, se espera que los gerentes TI mejoren la productividad de los empleados e implementen nuevas tecnologías que permitan alcanzar ventajas competitivas para los negocios. Al adoptar un acercamiento metodológico a la cuestión de la seguridad, usted invertirá menos tiempo en resolver conflictos y más tiempo en cumplir las metas de la empresa.

Primeros pasos

Si bien cada organización debe desarrollar su propia metodología referida a la seguridad TI, una lista básica de verificación puede simplificar las cosas:

Diariamente

Repase los niveles de parches para hardware, software y dispositivos de red. Asegúrese de que la organización cuenta con una política y con herramientas capaces de proteger al sistema.
Tanto como sea posible, consolide las actividades de seguridad a través de herramientas automáticas. Por ejemplo, los Servicios de Actualización de Microsoft Windows Server (en inglés) permiten que los administradores instalen actualizaciones en la organización mientras incorporan capacidades avanzadas de reportes

 

Semanalmente:

Realice un repaso detallado de logs, reportes y métricas. Utilice esta información para identificar fallas, problemas y mejores prácticas. Verifique los valores manejados por la industria para mejorar el rendimiento. Una fuente útil en este sentido es elCentro para la Seguridad de Internet (en inglés), que ofrece una variedad de herramientas, muchas de ellas gratuitas. Esto cubre todo, desde niveles de protección mínima hasta parámetros empresariales y de tecnología móvil para Windows XP Professional/Server 2003 y otras aplicaciones.
Provea de actualizaciones sobre amenazas potenciales y actuales al equipo TI, a especialistas en seguridad y a empleados. Por ejemplo, los desarrolladores de aplicaciones deberían comprender de qué manera un hacker puede explotar las vulnerabilidades en código; por su parte los empleados deberían comprender cómo ocurren los ataques, y cómo evitarlos.

 

Mensualmente

Analice a fondo los logs de seguridad y otros datos con el fin de determinar la rapidez con la que su organización responde a amenazas y a parches de actualización, y de qué manera es posible mejorar. Al constatar cómo se desarrollan los eventos y de qué manera el equipo responde, es posible entender mejor porqué algunas respuestas son lentas y anticiparse a otros problemas potenciales. De ser necesario, ajuste políticas, procedimientos y equipos.
Analice incidentes y repase la infraestructura general de seguridad.
Repase procesos de negocios y sistemas para identificar fallas, tales como sistemas sin parches o una mensajería instantánea insegura, que podrían desembocar en repetidos problemas de seguridad.
Presente informes con regularidad dentro de la organización, y asegúrese de que todos los departamentos contribuyen al plan de seguridad. Un “evangelista de la seguridad” debe estar al tanto de todos los sucesos y asegurarse de que el equipo TI esté siempre bien informado respecto de lo que sucede en la empresa.

 

Un plan exitoso exige estructura y colaboración de negocios

Para ser líder en material de seguridad, el personal TI debe saber cómo relacionarse con los negocios, y fomentar la participación de los accionistas. Si usted realiza bien estas tareas, usted cumplirá satisfactoriamente con las políticas de seguridad, y trabajará con un plan capaz de satisfacer los requisitos de negocios de su organización.

He aquí algunos consejos para empezar:

Adapte la estrategia a los requisitos de negocios. “Al comprender qué es importante para la organización y porqué es importante, usted podrá establecer una lista de prioridades”, sostiene James Quinnild, socio de PricewaterhouseCoopers en Minneapolis y toda una autoridad en materia de seguridad TI. Por ejemplo, un banco con clientes en cuatro países necesita una política de seguridad capaz de adaptarse a las regulaciones específicas de cada nación. La obtención de esta información requiere la intervención de los líderes de negocios que trabajan en la organización y la voluntad de coordinar políticas y soluciones.
Construya las bases de la seguridad desde el principio. “Demasiado a menudo –asegura Karl Levinson, analista de seguridad senior en Apogen Technologies, Washington, D.C.– los líderes de negocios simplemente le entregan al área TI un proyecto de planificación de los recursos empresariales o de administración de relaciones con el cliente”. Luego agrega que “la seguridad se convierte en un pensamiento secundario” y que “a esa altura es muy tarde y muy caro hacer las cosas bien”. Resulta de vital importancia contar con un especialista en seguridad capaz de facilitar la interacción y comunicación entre distintas unidades de negocios y el departamento TI. Esta persona debe buscar ideas en varios departamentos, mantener reuniones frecuentes e informar a los empleados sobre iniciativas y metas de seguridad.
Adopte un marco organizacional para administrar la seguridad. Uno de los mayores problemas que las empresas enfrentan –dice Anil Desai, consultor TI independiente con sede en Austin, Texas– es la oposición entre cierta tendencia a reaccionar a los problemas y la necesidad de contar con una estrategia que permita planificar la administración de la seguridad. Como resultado, el área TI está constantemente apagando incendios, lo cual dificulta cualquier intento de planificación. Desai, MVP de Microsoft, recomienda crear una lista de tareas para una mejor administración de la seguridad, así como asignar tareas específicas al departamento TI para asegurar el cumplimiento de todos los trabajos pendientes. Por ejemplo, si su equipo TI se compone de cinco personas, usted puede delegar las siguientes tareas a distintas personas: backups, actualizaciones y parches, monitoreo de redes, monitoreo de mails y mensajes, administración de accesos, y actividades de alineación de mensajes.
Haga de la capacitación una prioridad. Muchos especialistas TI desconocen las últimas novedades en materia de seguridad. Y aún aquellos expertos tienen dificultades a la hora de mantenerse al tanto de lo último sobre amenazas informáticas. “Cada integrante de una organización debe comprender de qué manera influyen en la seguridad de la empresa”, explica Quinnild. La educación sobre seguridad debería incluir capacitación sobre amenazas, políticas, reglas y procedimientos. Los consultores, las conferencias y los newsletters del sector pueden jugar un rol importante en este sentido. Los recursos Web como el Centro Microsoft para la Seguridad en Medianas Empresas, página de inicio de Microsoft Security, y SearchSecurity.com proporcionan gran cantidad de contenido y herramientas gratuitas.

Un entorno seguro requiere una estrategia de sonido y tácticas inteligentes: planifique bien, monitoree con frecuencia, y actúe rápidamente si algo empieza a funcionar mal. Los gerentes TI que priorizan la seguridad y que invierten tiempo y personal en administrarla eficientemente tienen más posibilidades de alcanzar el éxito seguro en su empresa y en su carrera.

Samuel Greengard es un escritor radicado en West Linn, Ore.,cuyos artículos aparecieron publicados en AARP, American Way, Arrive, Business Finance, Industry Week y Wired. Es colaborador frecuente del Centro Microsoft para Medianas Empresas.

Fuente: http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/mayo/itmanagers.mspx


Acciones

Information

One response

13 05 2008
Ray cantillo T

Ecxelente

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s