¿Qué es un plan de seguridad informática? Algo que TODAS las empresas deberían tener, pero que no tienen

En un plan de seguridad informática se describe cómo se implementan la seguridad, las políticas definidas, las medidas y los procedimientos. El plan de seguridad informática se desarrolla sobre la base de los recursos informáticos, y en dependencia de los niveles de seguridad alcanzados y de los aspectos que queden por cubrir.

Un plan de seguridad informática debe se enfocar sobre las acciones a realizar para lograr niveles superiores de seguridad. Es muy importante definir el alcance de un plan de seguridad informática, de acuerdo con los especialistas de los servicios de seguridad lógica para empresas, ayuda en definir las prioridades y acciones dependiendo de los recursos informáticos.

¿Cómo crear un plan de seguridad informática?

Los riesgos a un ciberataque son reales hoy en día. Les ocurre a grandes empresas e incluso a algunas de las organizaciones que parecen más seguras. Por lo tanto, un plan de seguridad informática no es algo de lo que deberías dudar si tener o no tener, es algo "obligatorio".

Un plan de seguridad informática (mediante una auditoría de seguridad) te permite entender dónde puedes tener vulnerabilidades en tus sistemas informáticos, para una vez detectadas, tomar las medidas necesarias para prevenir esos problemas.

No necesitas que tu plan de seguridad informática sea un documento demasiado extenso, o que cubra cualquier tipo de seguridad imaginable. Debe ser capaz de ayudar a proteger los datos y los sistemas críticos de tu negocio, asegurándote además que se ajuste a la legislación vigente y a la Ley de Protección de Datos.

Tu plan de seguridad debe de tener varios pasos que deberán estar también siempre por escrito, definiendo en cada caso los protocolos de actuación (en cumplimiento de las diferentes normas ISO).

Identificación

Para proteger a tu organización, lo primero que debes hacer es saber lo que tienes en ella que vale la pena proteger. Este paso inicial implica averiguar el conjunto de los activos de la organización, incluido el personal, el hardware, software, sistemas y datos que componen tu sistema informático. Pueden incluir programas informáticos, servidores y servicios externos como alojamiento web. Se debe hacer un inventario completo y detallado de todos los equipos y sistemas, incluyendo por supuesto tambien todo el software, (versiones del mismo y máquinas y usuarios que lo ejecutan).

Evaluación de riesgos

Ahora necesitas establecer qué es lo que podría poner en peligro los activos anteriores. Por ejemplo, los virus informáticos, hackers, daños físicos o errores de los empleados. Considera el tipo y el alcance del daño que podría ser causado en cada caso. Por ejemplo, si el servidor se pone fuera de línea, ¿tu empresa podría seguir funcionando? Anota todo esto en tu plan de seguridad informática.

Protección IT

Una vez que hayas evaluado el daño potencial de cada amenaza y la probabilidad de que se produzca, puedes decidir qué amenazas son las más importante e interesantes para empezar a proteger. Por ejemplo, podrías determinar que la protección de tu servidor es más importante que la protección de los equipos individuales.

Protocolos de actuación

Decide cuáles son los pasos que debes tomar para protegerte contra los riesgos que has identificado en toda la parte anterior de este plan de seguridad informática, y asegura que tu negocio va a seguir siendo capaz de operar si algo va mal. Por ejemplo, deberías restringir el acceso a tu servidor, o instalar un firewall de hardware. Tu plan de recuperación de desastres debe explicar qué hacer si ocurre una crisis.

Implementación

Una vez tengamos este plan de seguridad informática por escrito, debes poner en práctica las siguientes recomendaciones:

• Comunica el plan a todo el personal: Haz que algunos empleados concretos sean responsables de áreas específicas. Asegúrate de que tengan tiempo y recursos para hacer los cambios recomendados a sus sistemas de IT.

• Crea políticas de IT y forma a los empleados: Modifica las políticas de IT para que estén en línea con el plan de seguridad. Es necesario que todo el personal entienda cómo minimizar las vulnerabilidades de seguridad.

• Establece un calendario para poner en marcha las medidas del plan: Recuerda que puede llevar un tiempo hacer grandes cambios en los sistemas.

Mantenimiento y revisión del plan de seguridad informática

Los riesgos de seguridad cambian constantemente, por lo que deberás revisar periódicamente tu plan de seguridad informática. Mantente al día de las vulnerabilidades de seguridad emergentes suscribiéndote a boletines de empresas de seguridad. Asegúrate de que actualizas regularmente tus protecciones.

Si se realizan cambios en tu sistema informático, o inviertes en nuevo hardware o software, revisa tu plan de seguridad informática. Tratar de identificar nuevas vulnerabilidades de seguridad y revisa también las políticas y procedimientos al menos cada 12 meses. Por último, pon a alguien a cargo del plan de seguridad informática, para que no haya ninguna posibilidad de que quede descuidado.

La seguridad física y la seguridad lógica son dos aspectos del plan de seguridad informática y son necesarios para la seguridad de una empresa. A continuación, son los detalles de cada aspecto.

Seguridad lógica: Medidas y procedimientos

Una parte importante de un plan de seguridad informática es seguridad lógica. Medidas y procedimientos de seguridad lógica junto con políticas de seguridad lógica forman una ruta para implementar seguridad lógica.

Las soluciones y servicios de seguridad lógica para empresas son partes de las medidas y procedimientos. Sistemas de seguridad lógica para empresas se establecen las medidas y procedimientos que se requieran para la prevención, detección y recuperación de la información empresarial. Según expertos de empresa de seguridad lógica, las políticas de seguridad lógica y sistemas de seguridad perimetral son partes integrales de los servicios de seguridad lógica. Las soluciones y servicios de seguridad lógica para empresas evitan accesos no autorizados a la información empresarial. Los servicios de seguridad lógica para empresas crean barreras lógicas que protejan el acceso a la información.

Los consultores de los servicios de seguridad lógica para empresas mencionan que tradicionalmente las empresas dependieron sobre los sistemas de seguridad perimetral para defenderse de las amenazas de redes y sobre los programas de antivirus para defenderse de las amenazas del contenido. Sin embargo, estos sistemas no dan una protección completa contra ataques avanzados. Los consultores de servicios de seguridad lógica para empresas aseguran que la defensa contra ataques avanzados está más allá de la capacidad de las soluciones convencionales de seguridad lógica. Esto ha acelerado la necesidad de los servicios de seguridad lógica y las soluciones avanzadas.

Sistema de seguridad perimetral

Una parte importante de las soluciones y servicios de seguridad lógica para empresas es un sistema de seguridad perimetral. Todas las empresas, con independencia de su tamaño y del sector al que se dediquen, actualmente tienen algún tipo de sistema de seguridad perimetral para ciberdefensa contra ciberataques. Los sistemas de seguridad perimetral son los responsables de la seguridad del sistema informático de una empresa, que la protegen de amenazas externas, como virus, gusanos, troyanos, ataques de denegación de servicio, robo o destrucción de datos, etc.

Anteriormente los sistemas de seguridad perimetral en redes informáticas, sólo incorporaban  el cortafuegos, pero el mercado de sistema de seguridad perimetral está cambiando mucho y ahorita un sistema de seguridad perimetral por redes también incorpora los sistemas de IDS (Intrusión Detection System) e IPS (Intrusión Prevention System).

Los especialistas de seguridad perimetral mencionan que un sistema de seguridad perimetral por redes debe inspeccionar los protocolos de aplicación, contenido y debe utilizar técnicas avanzadas para identificar las amenazas no conocidas. Los sistemas de seguridad perimetral proporcionan protección a dos diferentes niveles.

El primer nivel es de la red, el sistema de seguridad perimetral para redes proporciona protección contra amenazas como ataques de hackers (black hat), las intrusiones o el robo de información en las conexiones remotas. El segundo nivel es del contenido, el sistema de seguridad perimetral para contenido proporciona protección contra amenazas como malware, phishing, el spam y los contenidos web no apropiados para las empresas. Esta clara división, unida al modo de evolución de las amenazas en los últimos años, ha propiciado que las empresas del sistema de seguridad perimetral se enfoquen en el desarrollo de equipos dedicados a uno u otro fin.

Identificación y autenticación de los usuarios

Identificación y autenticación de los usuarios son partes importantes de medidas y procedimientos. Los controles de acceso para seguridad informática son las medidas de identificación y autenticación de los usuarios. La asignación de derechos y privilegios en un sistema de controles de acceso es controlada a través de proceso de autorización que determina el perfil de cada usuario. Las soluciones de controles de acceso para seguridad informática garantizan el acceso de usuarios autorizados e impidiendo el acceso no autorizado a los sistemas informáticos. De acuerdo con la experiencia de los expertos en los controles de acceso para seguridad informática, durante la implantación de los controles de acceso las empresas deberán considerar los siguientes aspectos:

• Las políticas de seguridad lógica para la clasificación, autorización y distribución de la información.
• Las normas y obligaciones empresariales con respecto a la protección del acceso a la información.
• Auditoría de seguridad informática para verificar los procesos de los controles de acceso.
• Mantener los registros de acceso por cada servicio o sistema informático.
• Los procedimientos para identificación de usuarios y verificación del acceso de cada usuario.
• Los controles de acceso para seguridad informática deberán cubrir todas las fases del ciclo de vida del acceso del usuario, desde el registro inicial de nuevos usuarios hasta la anulación del registro de usuarios que no requieren más acceso a los sistemas informáticos.
• Sistema y método de autenticación empleado por los controles de acceso para seguridad informática.
• Por mayor seguridad, considerar las soluciones avanzadas de controles de acceso de seguridad informática, tales como biometría, tarjetas inteligentes etc.
• Definir los recursos, cual deben ser protegidos con las soluciones de control de acceso.
• Procesos y metodología de autorización utilizados por los controles de acceso.

Según expertos de controles de acceso para seguridad informática, el proceso de revisión de los derechos de acceso de usuarios después de cualquier cambio es muy importante. Las empresas deben implementar los sistemas de seguridad perimetral en redes con el fin de evitar la modificación no autorizada, destrucción y pérdida de los datos de sistema de control de acceso. Se debe aplicar el protocolo de "menor privilegio posible".

Políticas de seguridad lógica

El objetivo primordial de las políticas de seguridad lógica es suministrar orientación y ayudar la dirección, de acuerdo con los requisitos empresariales y con las normas de seguridad. Las políticas de seguridad lógica representan los objetivos empresariales y compromiso a la seguridad informática. Las políticas de seguridad lógica deben ser publicadas adentro de la empresa y ser comunicadas a todos los empleados de la empresa.

Las políticas de seguridad lógica definen los recursos, cual deben ser protegidos y cual son los procedimientos de seguridad lógica. Las políticas de seguridad lógica en sí mismas no dicen como los recursos son protegidos. Esto es función de las medidas y procedimientos de seguridad lógica. Por cada política de seguridad lógica existen varias medidas y procedimientos que le correspondan. Desde que las políticas de seguridad lógica pueden afectar a todos los empleados es importante asegurar a tener el nivel de autoridad requerido para implementación y desarrollo del misma. Las políticas de seguridad lógica deben ser avaladas por los expertos con experiencia en implementación de políticas de seguridad lógica y por la dirección de la empresa que tiene el poder de hacerlas cumplir. Políticas como de gestión de los incidentes, de respaldo de datos, de protección de datos personales forman una parte integral de las políticas de seguridad lógica.

Seguridad física para las empresas

Otra parte importante del plan de seguridad informática es la seguridad física empresarial. Las medidas y procedimientos de seguridad física están dirigidas a lograr una eficiente gestión de la seguridad y deben garantizar el cumplimiento de las regulaciones vigentes, así como las establecidas por la propia entidad. Las soluciones de seguridad física de la información, tienen el objetivo de evitar accesos físicos no autorizados, daños e interferencias contra la infraestructura informática y la información empresarial. Las soluciones de seguridad física de la información, forman una parte de integral de las soluciones de seguridad física. Las soluciones de seguridad física de la información, se aplican a los departamentos de informática, de los soportes de información y otros departamentos donde se encuentran gestión de datos. El plan de seguridad informática, determina las zonas controladas adentro de la empresa y estas zonas tienen requerimientos específicos de seguridad, en base a lo cual se declaran zonas limitadas, restringidas o estratégicas y se describen las soluciones de seguridad física de la información que se aplican en cada una de ellas.

Generalmente las soluciones de seguridad física de la información crean una barrera física alrededor de las áreas de procesamiento de la información. Pero algunas soluciones de seguridad física de la información, utilizan múltiples barreras para brindar protección adicional y estar más seguro. Periódicamente, las empresas deben hacer la revisión de rendimiento de las soluciones y determinar las acciones a realizar para lograr el ciclo de mejora continua.

La protección de la infraestructura informática y dispositivos empresarial forma una parte integral de las soluciones de seguridad física de la información y son necesarias para reducir las amenazas físicas de accesos no autorizados a la información y riegos de robos o daños. Las soluciones deben tomar en cuenta las acciones necesarias para cubrir las brechas de seguridad y la corrección de los errores de los sistemas. Las soluciones de seguridad física de la información garantizan la protección contra fallas eléctricas, intercepción de la información y la protección de los cables. Según los expertos de soluciones de seguridad física de la información, las amenazas físicas como daños que puedan ser ocasionados por incendios, inundaciones, terremotos, explosiones, y otras formas de desastre natural o artificial deben ser consideradas durante la implantación de las soluciones de seguridad física de la información.

La implementación de un plan de seguridad es un paso importante en el ámbito de seguridad. Deben tomar ayuda de una organización con especialización en los servicios de seguridad lógica para empresas. El plan de seguridad informática debe ajustar al sistema de seguridad implementado y utilizándolo como una herramienta de la gestión de la seguridad. El plan de seguridad informática debe ser muy comprensible y eso asegura su cumplimiento. Los expertos en plan de seguridad informática podrían asegurar que el plan está actualizado sobre la base de los cambios como nuevas políticas de seguridad lógica y soluciones de seguridad física de la información.

Referencias:

http://www.socinfo.es/contenido/seminarios/seguridadinfo/mtin.pdf

https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

http://www.antpji.com/antpji2013/index.php/articulos2/111-auditoria-de-seguridad-informatica

http://www.segu-info.com.ar/firewall/firewall.htm

http://www.elmundodelastics.net/2009/07/9-pasos-para-implementar-la-seguridad.html

http://blog.infoempleo.com/a/ideas-de-negocio-como-poner-en-marcha-una-empresa-de-seguridad-informatica/

http://www.iso.org/iso/catalogue_detail.htm?csnumber=50341

https://es.wikipedia.org/wiki/Los_criterios_comunes