PLAN DIRECTOR DE SEGURIDAD
OBJETIVOS DEL PLAN DIRECTOR.
Establecer los objetivos
Establecer cuáles son nuestros objetivos a cumplir, nos permitirá determinar los ámbitos a mejorar e identificar los aspectos en los que debemos focalizar nuestros esfuerzos.
En relación a los estándares relevantes que debemos tener en cuenta, deberíamos considerar:
- Reglamento General de Protección de Datos (RGPD) en general.
- ePCI-DSS si gestionamos datos de tarjetas de crédito
- COBIT si queremos optar por guías de buenas prácticas alternativas a la norma ISO 27002
- Esquema Nacional de Seguridad, si trabajamos habitualmente con información de la Administración Pública o les proporcionamos servicios.
Análisis técnico de seguridad
El análisis técnico de la seguridad queda cubierto mediante la valoración del grado de implantación y madurez de los controles más relacionados con los sistemas de información empleados por la organización para almacenar y gestionar su información.
Además de temas de gestión y de evaluación de controles en base a entrevistas y percepciones, la realidad del estado de seguridad de una organización se evidencia mediante la comprobación y valoración de aspecto tales como:
- Si disponemos de antivirus y cortafuegos.
- Si nuestra página web es segura.
- Si la red está correctamente segmentada, que impida por ejemplo que desde Internet sean visibles los equipos de los usuarios o los servidores internos.
- Si existen controles de acceso físicos a las áreas con información sensible: salas de servidores, despachos, área de Recursos Humanos, etc.
Sin duda, estas pruebas nos permiten identificar deficiencias en la seguridad técnica de la organización, y a través de ellas, comprobamos la eficacia de los controles de seguridad lógica existentes en la organización: cortafuegos, antivirus, sistemas de detección de intrusos, niveles de parcheado, política de contraseñas, etc.
El alcance y modalidad de esta auditoría puede variar en función de la estrategia de negocio, el ámbito de nuestra empresa y nuestros antecedentes.
Así, una empresa de comercio electrónico puede estar interesada en la seguridad de su página web, mientras que una empresa con otros riesgos diferentes en cuanto a fuga de información puede estar más interesada en mejorar el proceso de alta y baja de empleados, políticas de buenas prácticas del uso del correo corporativo, cultura en seguridad o los controles de acceso, entre otros.
Debido a que se trata de un trabajo especializado, es habitual que la organización opte por externalizar el análisis técnico de la seguridad.
En estos casos debemos prestar especial atención a la coordinación del equipo externo con el personal propio de nuestra organización, para establecer el tipo de pruebas a realizar y el método de trabajo que se utilizará.
Por norma general, debemos requerir que no se lleven a cabo pruebas «agresivas», en cuanto a carga de trabajo de sistemas o redes, que pudieran afectar a la disponibilidad de los servicios TIC.
Por contra, si optamos por llevar a cabo estas pruebas de forma interna, es fundamental acotar el periodo de realización y que el personal TIC prepare, previamente, procedimientos de recuperación sobre los entornos que serán evaluados, con el fin de minimizar el impacto en el negocio.
Es recomendable que se lleven a cabo auditorías técnicas tanto desde el exterior de la organización como desde el interior.
De este modo podremos ponernos en el papel tanto de un atacante interno, por ejemplo un empleado malintencionado, como en el de un atacante externo, por ejemplo un ciberdelincuente.
El próximo día continuaremos con la elaboración del Plan Director de Seguridad en la tercera fase: Análisis de Riesgos.
