sistema de gestión de seguridad de información

¿Cómo hacer una efectiva evaluación de la vulnerabilidad?

Posted on

Para conseguir el máximo beneficio de una evaluación de la vulnerabilidad por una empresa de seguridad de la información  se requiere una comprensión de los procesos de misión crítica de su organización y la infraestructura subyacente, y aplicar esos conocimientos a los resultados. Según expertos de sistema de gestión de seguridad de información, para que sea realmente efectivo, se deben incluir los siguientes pasos:

¿Cómo hacer una efectiva evaluación de la vulnerabilidad

  1. Identificar y entender los procesos de tu empresa

El primer paso para proporcionar un contexto empresarial es identificar y comprender los procesos de organización en tu empresa, centrándose en aquellos que son críticos y sensibles en términos de cumplimiento, la privacidad del cliente, y la posición competitiva. No hay manera de hacer la informática sin ningún tipo de conexión con otras personas. En muchas organizaciones, se requiere la colaboración entre la informática y los representantes de las unidades de negocio, empresa de seguridad de la información, el departamento de finanzas y el asesor legal. Acuerdo con los expertos de sistema de gestión de seguridad de información, muchas organizaciones ponen juntos los grupos de trabajo de estrategias de seguridad con los representantes de cada departamento, quienes trabajan juntos durante varias semanas para analizar los procesos de negocio, la información y la infraestructura de la que dependen.

  1. Determinar con precisión las aplicaciones y los datos que subyacen a los procesos de negocio

Una vez que los procesos de negocios son identificados y clasificados en términos de criticidad de la misión y sensibilidad, El siguiente paso es identificar las aplicaciones y los datos en los que los procesos de misión crítica dependen. Una vez más, esto se puede lograr sólo a través de la colaboración entre la informática y otros agentes económicos. A partir de extensas discusiones colaborativas, es posible descubrir las aplicaciones que son mucho más críticas de lo esperado. Por ejemplo, el correo electrónico puede ser una aplicación absolutamente crítica para un departamento, pero no crítica en absoluto para muchos otros.

  1. Encontrar las fuentes de datos ocultos

Cuando estás buscando aplicaciones y fuentes de datos, asegúrate de tomar en cuenta los dispositivos móviles como teléfonos inteligentes (smartphones) y tabletas, así como computadoras de escritorio. En conjunto; estos dispositivos a menudo contienen los datos más recientes y delicados que tu organización posee. Trabajar con las unidades de negocio para entender quién está utilizando dispositivos móviles para acceder y compartir aplicaciones y datos corporativos. Comprender los flujos de datos entre estos dispositivos y aplicaciones de centros de datos y almacenamiento. Averiguar si sus usuarios corporativos están enviando mensajes de correo electrónico de negocios a través de servicios de correo electrónico públicas como Gmail o Yahoo Mail. Según empresas de seguridad de la información, otra categoría a menudo oculta para investigar es el entorno de desarrollo de software, pues ellos son inherentemente menos seguros que los ambientes de producción. Los desarrolladores de software y probadores a menudo utilizan los datos actuales, algunas veces de misión-crítica para probar aplicaciones nuevas y mejoradas.

  1. Determinar que hardware sustenta a las aplicaciones y datos

Seguir trabajando bajo las capas de la infraestructura para identificar los servidores, tanto virtuales como físicos, que ejecutan tus aplicaciones de misión crítica. Para las aplicaciones Web, se puede estar hablando de tres o más conjuntos de servidores Web, aplicaciones y bases de datos, por aplicación. Según expertos de empresa de seguridad de la información, identificar los dispositivos de almacenamiento de datos que contienen los datos de misión crítica y datos delicados utilizados por estas aplicaciones.

  1. Mapa de la infraestructura de red que conecta el hardware

Desarrollar una comprensión de los routers y otros dispositivos de red que sus aplicaciones y hardware dependen para un rendimiento rápido y seguro.

  1. Identificar que controles ya están en su lugar

Tenga en cuenta las medidas de seguridad y continuidad del negocio que ya ha puesto en marcha, incluidas las políticas, firewalls, Acuerdo con los expertos de sistema de gestión de seguridad de información, firewalls de aplicación, Detección de intrusos y sistemas de prevención(IDPS), virtual prívate networks (VPNs), data loss prevention (DLP), y el cifrado, -para proteger a cada conjunto de servidores y dispositivos de almacenamiento que alojan aplicaciones de misión-crítica y datos. Acuerdo con los expertos de sistema de gestión de seguridad de información, entender las capacidades clave de estas protecciones, y qué vulnerabilidades abordan más eficazmente. Esto puede requerir una investigación bastante extensa, incluyendo sitios web de exploración y revisión, y hablar con representantes de la empresa de seguridad.

  1. Ejecutar el análisis de vulnerabilidad

Sólo cuando has entendido y trazado tu aplicación, flujos de datos, el hardware subyacente, infraestructura de red y protecciones es lo que realmente tiene sentido para ejecutar sus análisis de vulnerabilidad por expertos de empresa de seguridad de la información.

  1. Aplicar el contexto de la tecnología y los negocios al escaneado de resultados

Un escáneo puede producir puntuaciones del alojamiento y otras vulnerabilidades con clasificación de gravedad, pero dado que los resultados y las puntuaciones se basan en medidas objetivas, es importante para determinar la organización de tu empresa y el contexto infraestructural. Derivar de información significativa y aplicable sobre el riesgo de negocio a partir de datos de la vulnerabilidad es una tarea compleja y difícil. Después de evaluar el nivel de conocimientos y la carga de trabajo de su personal, es posible determinar que sería útil para asociarse con una empresa de seguridad de la información que está bien entrenada en todos los aspectos de la seguridad y la evaluación de amenazas. Ya sea que la empresa realice esta tarea de forma interna o consiga ayuda externa, los resultados deben ser analizados para determinar qué vulnerabilidades de la infraestructura deben atacarse primero y más agresivamente.

Advertisements

¿CÓMO IMPLEMENTAR EL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN?

Posted on

Según perspectiva global de empresa de seguridad de la información; integridad, confidencialidad, disponibilidad, auditabilidad y no repudio forman los cinco pilares fundamentales para seguridad en sistemas informáticos. Para las pequeñas y medianas empresas en los países como México, Brasil, Estados Unidos, Colombia, Argentina, UAE, India, el tema de seguridad en sistemas informáticos es muy importante. Las soluciones de seguridad de la información ayudan al mejoramiento de la seguridad en sistemas informáticos, haciendo que los sistemas permanezcan preparados ante eventualidades que puedan interrumpir el crecimiento de una empresa. Las empresas pueden implementar seguridad en sistemas informáticos con ayuda de soluciones como el sistema de gestión de seguridad de la información.

El sistema de gestión de seguridad de la información abarca diferentes temas, como planeación de seguridad en sistemas informáticos, políticas de seguridad en sistemas informáticos, aseguramiento de los recursos empresarial, entre otros. La implementación completa del sistema de gestión de seguridad de la información se compone de tres procesos:

1. Planificación
2. Implementación
3. Verificación y Actualización

Según Mike Steven, el experto de los servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información; la implementación de una solución de seguridad de la información, brinda muchas funciones. Las funciones incluyen una visibilidad del estado actual de sistemas informáticos, los controles de seguridad en sistemas informáticos y la especialización en seguridad de la información que se pueden aplicar para tomar decisiones acertadas sobre la estrategia aplicada. A continuación, se explican más detalle los procesos del sistema de gestión de seguridad de la información.

CiJykpTUoAAfl5K

PLANIFICACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

En este proceso hacen el diseño de la arquitectura del sistema de gestión de seguridad de la información. Los expertos de las empresas de seguridad de la información afirman que, este proceso ayuda establecer las políticas, las soluciones de seguridad de la información, y lograr objetivos empresariales relacionados a la seguridad en sistemas informáticos. El primer paso en el proceso de planificación es determinar los requerimientos de la seguridad.

Determinar los requerimientos de la seguridad

Los requerimientos de la seguridad, se determinan mediante la realización de los servicios de seguridad de la información y es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. Análisis de riesgos informáticos es parte de los servicios de seguridad de la información y ayuda en calcular los posibles impactos de los riesgos, su probabilidad de ocurrencia e identificación de los recursos a proteger.

Según Jorge Ríos, el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; los servicios de seguridad de la información deben:

  • Definir los recursos informáticos.
  • Identificar y evaluar las amenazas y vulnerabilidades junto con sus prioridades.

Los servicios de seguridad de la información se pueden diferenciar en dos aspectos:

  • El servicio de seguridad de la información para evaluación de los riesgos y determinar los sistemas que, pueden verse afectados por amenazas y estableciendo sus prioridades e impactos.
  • El servicio de seguridad de la información para la identificación, selección, aprobación, manejo de los riesgos y controles de seguridad en sistemas informáticos para eliminar o reducir los riesgos. Los expertos de empresa de seguridad de la información afirman que este servicio ayuda en la limitación del impacto de una amenaza y recuperación del impacto.

En resumen, los servicios de seguridad de la información deben determinar los requerimientos de la seguridad y deben cubrir los siguientes procesos.

 

1. Definir los sistemas informáticos

Definir los sistemas informáticos incluye la determinación de los recursos informáticos que deben ser protegidos, sus valoraciones y clasificaciones según sus prioridades. Según el profesor de capacitación de seguridad de la información quien trabaja en una escuela en seguridad de la información; una buena definición del sistema informático debe incluir cualquier aspecto que haga más precisa su descripción como su ubicación, tipos de tecnología, personal que operan etc.

El personal con especialización en seguridad de la información debe realizar la valoración de los sistemas informáticos y debe realizar la valoración teniendo en cuenta aspectos tales como: la función que realizan y su costo. Mike Steven, el experto de servicios de seguridad de la información quien trabaja con una empresa de seguridad de la información menciona, que este proceso ayuda a determinar los sistemas informáticos críticos y los riesgos a que están sometidos. Según experiencia de los personales con especialización en seguridad de la información, existe la tendencia de declarar críticos a sistemas informáticos que en realidad no lo son. A la hora de tratar este aspecto la empresa debe tomar ayuda de personal con especialización en seguridad de la información para evitar los problemas en el futuro.

 

2. Identificación y evaluación de los riesgos de seguridad en sistemas informáticos

Las empresas pueden identificar los riesgos de seguridad en sistemas informáticos mediante la realización de los servicios de seguridad de la información y esto es un parte importante de la arquitectura del sistema de gestión de seguridad de la información. La realización de análisis de riesgos implica el examen de cada una de las amenazas. Algunas empresas de seguridad de la información también realizan la estimación de los riesgos. La estimación de los riesgos determina las probabilidades de materialización de las amenazas y ayuda en la selección de los controles de seguridad que deben ser establecidos.

Generalmente las empresas implementan algunas soluciones de seguridad de la información. Según especialistas de empresa de seguridad de la información, es necesario evaluar de manera crítica la efectividad de las soluciones de seguridad de la información existentes, sobre la base de los resultados del análisis de riesgos realizado. Esto ayudará a orientar e implementar las soluciones de seguridad de la información con mucha efectividad o tomar ayuda de una empresa de seguridad de la información para protegerse.

 

3. Selección de los controles de seguridad de la información

Las empresas deben seleccionar los controles de seguridad basados en el análisis de los riesgos, los criterios para la aceptación del riesgo, las opciones para el tratamiento, y para cumplir las normas de seguridad. Las empresas pueden identificar los controles de seguridad mediante la realización de los servicios de seguridad de la información. Los controles de seguridad forman una parte integral de una solución de seguridad de la información y de la arquitectura del sistema de gestión de seguridad de la información. Implementación de un sistema de gestión de seguridad de la información se logra implantando un conjunto adecuado de controles, que incluyen políticas, procedimientos, procesos y diferentes soluciones de seguridad de la información.

Selección de los controles de seguridad debe ser avalada por los expertos con especialización en seguridad de la información y por jefes de las empresas que tiene el poder de hacerlas cumplir. Según expertos de empresa de seguridad de la información, los procedimientos y soluciones de seguridad de la información constituyen los pasos requeridos para proteger los sistemas informáticos. Los controles de seguridad deben ser instrumentados mediante los procedimientos y soluciones de seguridad de la información que garanticen sus cumplimientos. Las soluciones de seguridad de la información se clasifican de acuerdo a su origen: administrativas; de seguridad física o lógica; de seguridad de operaciones; y educativas. A su vez, por forma de actuar, las soluciones de seguridad de la información pueden ser: preventivas, de detección y de recuperación. En caso que la empresa no tenga la especialización en seguridad de la información para implementar las soluciones, podría establecer contactos con empresas de seguridad de la información o grupos externos, incluyendo autoridades pertinentes, para mantenerse al día con tendencias de la industria, seguimiento de normas, y métodos de evaluación.

 

IMPLEMENTACIÓN DEL SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

El proceso de implementación del sistema de gestión de seguridad de la información incluye gestión de los riesgos identificados mediante la aplicación de los controles y las soluciones de seguridad de la información. Este proceso asegura que el personal de la empresa tiene el conocimiento y las habilidades, mediante la formación y el curso de seguridad de la información. Según el profesor de la escuela de seguridad de la información, las empresas deben implementar programas de capacitación y los cursos de seguridad de la información que debe cubrir siguientes aspectos:

 

  1. El personal debe tener la conciencia de la importancia que el SGSI tiene para la organización, con la ayuda del curso de seguridad de la información.
  2. El curso de seguridad de la información debe asegurar la divulgación del conocimiento y comprensión de las políticas de seguridad que se implementan.
  3. El curso de seguridad de la información debe capacitar a los usuarios en los procedimientos y soluciones que se van a implantar.
  4. El personal debe estar consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información después de tomar el curso de seguridad de la información.
  5. Con ayuda de del curso de seguridad de la información, el personal debe entender los procedimientos y controles que se requieran para detectar y dar respuesta oportuna a los incidentes de seguridad.

De modo que el proceso de implementación del sistema de gestión de seguridad de la información sea exitoso las empresas deben asegurar la implantación de todos los controles, que incluyen políticas, procedimientos, procesos, soluciones de seguridad de la información y desarrollo de habilidades del personal con los cursos de seguridad de la información.

 

VERIFICACIÓN Y ACTUALIZACIÓN DE SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

El proceso de verificación del sistema de gestión de seguridad de la información incluye comprobación del rendimiento y la eficacia del SGSI, verificación periódica de los riesgos residuales. Según empresa de seguridad de la información, los clientes deben realizar auditorías internas/externas periódicamente para lograr el objetivo empresarial.

El proceso de actualización del sistema de gestión de seguridad de la información incluye realización de los cambios basados en los resultados del proceso de verificación para asegurar máximo rendimiento del sistema de gestión de seguridad de la información. Este proceso se suele llevar en paralelo con el proceso de la verificación y también se lleva a cabo las labores de mantenimiento del sistema. Según expertos de servicios de seguridad de la información, durante la implementación de este proceso se requiere modificación de los control de seguridad o implementar nuevas soluciones de seguridad de la información. Entonces las empresas deben evaluar los nuevos riesgos y proporcionar formación al personal sobre los cambios o nuevas soluciones.

La implementación de sistema de gestión de seguridad de la información es un paso importante en el ámbito de seguridad. Las empresas pueden tomar ayuda de una organización con especialización en seguridad de la información, es una fuente de asesoramiento especializado. Los expertos con especialización en seguridad de la información deben tener experiencia con sector privado y público en varios países.

 

Fuente:http://www.iicybersecurity.com/servicios-de-seguridad-de-la-informacion.html