Buenas prcticas de seguridad informtica

1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnologa a

implementar y las polticas a seguir para la proteccin de una empresa, resulta
fundamental analizar cules son los objetivos del negocio, sus procesos
prioritarios, los activos ms importantes, los datos ms crticos; porque slo as se
asegurar de forma robusta aquello que realmente es importante para el
funcionamiento de la compaa.

Si se quieren colocar controles sin conocer qu se va a proteger, cules son los

procesos, las reas, los sistemas relevantes; se corre el riesgo de perder el
rumbo, advierte Ricardo Lira, gerente de CARE de Ernst and Young.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos
puntos y tambin para identificar las regulaciones que afectan al negocio, el
cumplimiento normativo, disposiciones locales e internacionales y el marco interno
de polticas y procedimientos de la empresa, sugiere Carlos Zamora presidente
de ISACA (Asociacin de Auditora y Control de Sistemas de Informacin)
Asimismo, resulta importante en este anlisis averiguar cul es el grado de riesgo
tolerable por los accionistas, es decir qu nivel de exposicin estn dispuestos a
asumir y cul es el monto que pueden arriesgar frente a una gran contingencia,
precisa Zamora.
Por ltimo, viene bien hacer una clasificacin de la informacin para evaluar cul
es la ms crtica, con el fin de dotarla de los mayores controles, refiere Octavio
Amador, director de servicios de consultora de Symantec.
Ya con toda esta informacin se pueden establecer los objetivos del rea de
proteccin y las acciones a seguir, pero basados en los requerimientos y metas de
la organizacin.

2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qu es lo

prioritario dentro del negocio, conviene hacer un anlisis de riesgos y
vulnerabilidades para establecer de forma clara cules son las amenazas a los
activos crticos de la organizacin.

Slo que en este anlisis no se debe olvidar considerar tanto infraestructura como
procesos y personal. En el mapa de riesgos debe ubicarse, por ejemplo, qu
personas no tienen los conocimientos suficientes como para operar los sistemas
sin comprometerlos o quines son negligentes o descuidados, afirma Francisco
Puente, CEO de GCP Global.

Cmo identificar esto? Una alternativa es evaluar al personal respecto a cmo

maneja el intercambio de informacin o sus contraseas. La manera comn es
aplicar pruebas y ver cmo ejecutan los procedimientos, pero hay otras opciones
para llegar realmente al fondo de su cultura de proteccin, una de stas es:
decirles que compartir los passwords no es tan riesgoso y ver cul es su reaccin,
indica Puente.

A su vez, Zamora comenta que incluso se debera analizar qu tan relevante es en

las actividades diarias de los empleados el tema de seguridad. De hecho, eso
tendra que ser parte de la evaluacin del desempeo del personal.

Ms an, agrega, habra que incluir en las pruebas a los candidatos a ingresar a la
empresa alguna para conocer su nivel de cultura de proteccin.
Todo esto, con la idea de generar un modelo visual del mapa de riesgos de la
empresa, en donde se considere todo lo crtico y no slo las cuestiones de
infraestructura.
Pero eso no es todo, para redondear esta mejor prctica conviene, adems, no
olvidarse de cuantificar los riesgos y exponer a los directores cul sera la prdida
potencial de los activos frente a las posibles amenazas. Algo que adems de
poner en alerta a la alta direccin sobre los peligros y su impacto, ayudar a
justificar la inversin solicitada para la estrategia de proteccin.

3. Disear un plan o programa estratgico de seguridad de la informacin.

Tomando como punto de partida el anlisis de riesgos, hay que elaborar un plan,
con sus debidas metodologas y prcticas, pero alineado con el de la compaa,
para que todo lo hecho por el rea de seguridad vaya en sentido de las iniciativas
del negocio.

Esto porque en ocasiones se pone foco en aspectos que realmente no le agregan

valor a la organizacin. En algunas empresas sucede que el rea de seguridad
gasta mucho en la parte perimetral y luego resulta que en realidad eso no le
aporta tanto a la firma, sentencia Lira.

Por eso es conveniente buscar esta alineacin con el negocio, as como tambin
lo es fijar al plan de proteccin un ciclo de vida y basarlo en estndares,
recomienda Juan Jos Gutirrez, director del programa ejecutivo de seguridad de
Gartner en Mxico.

Coincide con l, Rommel Garca Vega, gerente senior de la prctica de seguridad

informtica de KPMG, quien resalta la importancia de establecer objetivos con
plazos bien definidos, dentro de dicho plan. Hay metas que se pueden fijar a tres
meses, otras a seis meses y las de largo plazo a mximo dos aos, pero no ms,
porque ya no sera viable.
4. Definir e implementar polticas y lineamientos de seguridad. Una prctica muy
importante es establecer reglas y lineamientos para el manejo seguro de la
informacin, los sistemas y los procedimientos de la empresa.

Dichas polticas deben transmitirse e implementarse a travs de estructuras

jerrquicas y no slo colocarlas en un repositorio de datos, sin darles el contexto
debido, asegura el analista de Gartner.

Pero ojo, las polticas que se establezcan deben ser flexibles, cuando as
convenga, para no entorpecer el funcionamiento de la organizacin ni afectar el
trabajo de los usuarios internos.

Cada lineamiento debe establecer las consecuencias de no seguirlo y frente a

cualquier desacato se debe aplicar la sancin correspondiente, porque de lo
contrario las polticas se vuelven libros muertos, que nadie respeta, sentencia el
especialista de KPMG.

Claro que en todo esto se debe incluir no slo a los empleados internos, sino
tambin a todos aquellos terceros con quienes la empresa intercambia informacin
o procesos.

La cadena de seguridad no empieza ni termina dentro de la organizacin, viene

desde los proveedores y abarca a los clientes, apunta Zamora. Por lo tanto, hay
que considerarlos e incluirlos en las polticas para el manejo seguro de la
informacin y los procesos del negocio.

5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las
mejores prcticas es educar y capacitar a los miembros de la organizacin
respecto a las amenazas y a la conveniencia de acatar las polticas de proteccin
para no abrir vulnerabilidades.
Sin embargo, el CEO de GCP Global subraya que esto no se logra organizando
campaitas generales de concientizacin, es necesario ir mucho ms all.
Entre quienes se identific (en el anlisis previo de la situacin general de la
organizacin) que son personal de riesgo, por su falta de cultura de seguridad o su
negligencia, es necesario iniciar una labor de concientizacin. En cuanto a
aquellos que tienen acceso a informacin crtica para el negocio, lo ms adecuado
es brindarles la capacitacin necesaria respecto a cmo manejarla.
En este sentido, Lira opina que lo correcto es empezar con las reas y personas
de mayor riesgo, debido a la informacin que manejan, y tener un nfasis
constante en ellas. Despus hay que irse a la concientizacin a nivel compaa,
porque de una u otra forma todos tienen acceso a datos, aunque lo conveniente es
avanzar por grupos o reas e incorporar el tema de seguridad en los cursos de
induccin, para incluir a los nuevos empleados.
Adems, hay que considerar que las plticas y cursos no son la nica forma de
transmitir las polticas ni de educar a los empleados. Se pueden enviar mensajes
en protectores de pantalla, a travs de la intranet, etctera.

6. Conformar un equipo y un comit de seguridad. Formalizar la funcin del oficial

de seguridad es una prctica muy recomendable hoy en da.
Pero hay que considerar que este personaje requiere un equipo de trabajo,
conformado por especialistas en la materia y con conocimientos en diferentes
campos de la misma.
Idealmente, este equipo debe ser independiente del departamento de informtica,
porque si esta funcin se integra dentro del rea de sistemas, probablemente se
caer en el dilema de operar o asegurar, seala Garca, de KPMG.
En cuanto a la cuestin de a quin le reporta el rea de seguridad, lo ideal es que
sea a la direccin general, porque el director de sistemas est demasiado absorto
en los temas operativos como para darle el peso necesario a las cuestiones de
proteccin.
Adems, si hay oportunidad, tambin es una buena prctica crear un comit de
seguridad, en el que se incluya a miembros de las diferentes reas de la
organizacin y a representantes de la alta direccin, para entre todos delinear qu
es lo ms importante a cubrir y ejecutar en esta materia, considera Garca.

7. Desarrollar aplicaciones seguras desde su origen. El software que las

compaas diseen, ya sea externa o internamente, debe contemplar cuestiones
de seguridad, para que desde el origen cuente con la mayor proteccin posible
frente a amenazas.
Esto que pareciera tan bsico es algo que todava se est descuidando. Los
programas y las aplicaciones de desarrollo in house (e incluso los comerciales) se
disean sin considerar los factores requeridos para su proteccin, lo cual se
convierte en una de las principales causas-raz de los incidentes.
Una manera de enfrentar este problema es establecer una mayor colaboracin
entre quienes se encargan de desarrollar las aplicaciones y el personal encargado
de la seguridad informtica.
En Estados Unidos, menciona Lira, ya es ms frecuente que el personal de
desarrollo de software se rena con el de seguridad para establecer en conjunto
los lineamientos que en esta materia deben cumplir las aplicaciones y ejecutar las
pruebas correspondientes en la infraestructura.
De manera que en Mxico convendra empezar a dotar de ms peso a este
trabajo conjunto e incluso, considera Lira, transformarlo en un estndar tanto para
las empresas de software comercial como para aquellas que hacen desarrollos in
house.
8. Mantener bajo control al outsourcing. Todas las actividades desarrolladas en
outsourcing deben bajarse a niveles de servicio para medirlos, ya sea de forma
cuantitativa o cualitativa (la opinin de los usuarios respecto a esto), porque
muchas empresas estn utilizando este esquema, pero sin aplicar los controles
adecuados considera Enrique Bertran, director de la prctica de soluciones de
seguridad de la informacin de PriceWaterHouse Coopers.
La periodicidad de estas evaluaciones depender del tipo de servicio involucrado.
La atencin a los incidentes debe medirse frente a cada uno de estos, pero otras
cuestiones pueden calificarse cada mes, cada 60 das o mnimo cada seis meses,
precisa Bertran.

9. Medir el nivel de seguridad en la compaa. Para conocer el avance de la

estrategia de proteccin, y ver si los objetivos se estn cumpliendo, es necesario
medir su progreso, a travs de mtricas, con las que se evale tecnologa,
procesos y personas.
Las alternativas para esto son muchas y muy variadas. Se puede evaluar el
proceso de administracin de incidentes, las vulnerabilidades, el control de
versiones y el grado de conciencia del personal, por ejemplo, apunta Lira.
Tambin es posible recurrir a mediciones del nmero de deficiencias identificadas
en compliance en la ltima auditora, el nmero de polticas que no se cumplen,
los usuarios capacitados o la cifra de alertas procesadas, sugiere Gutirrez.
Los resultados de todo esto deben comunicarse a la alta direccin, porque sus
miembros necesitan saber cmo evoluciona la seguridad de la informacin. Pero
hay que plasmar los avances de forma sencilla. Lo ms conveniente es llegar con
una presentacin corta y decir: en aplicaciones crticas estamos as; en
operaciones de esta forma, o bien se pueden utilizar semforos, para mostrar el
avance de la estrategia y el estado de los activos, expresa el consultor de Ernst
and Young.
Lo ms recomendable es que el encargado de seguridad reporte cada mes a la
alta direccin, el avance de su estrategia, porque adems el seguimiento debe ser
continuo.
Algo que ayuda a esto es el monitoreo, para tener una fotografa de la
infraestructura, tanto en configuraciones, como en aplicaciones y equipos,
comenta Juan Ovalle de Attachmate.

10. Definir y probar un Plan de Recuperacin en Caso de Desastres (DRP). Ya

est ms que perneada entre las compaas la conveniencia de establecer
estrategias de continuidad para el negocio. Y aunque la mayora de las
organizaciones no dispone de un site alternativo, si cuentan con los respaldos
suficientes para recuperar su informacin.

Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o
haya que respaldar slo algunos componentes, incluso en el mismo edificio,
conviene considerar ciertos factores para no toparse despus con sorpresas.
Unos de estos aspectos son: validar que los sistemas de contingencia funcionan
adecuadamente y estn actualizados, as como comprobar que los procesos y la
informacin se pueden recuperar.

Adems es necesario hacer una anlisis de impacto al negocio, para ver si

realmente se est respaldando y recuperando lo verdaderamente importante y si
se han contemplado todos los escenarios posibles, porque en muchos casos esto
se omite.

Lo que se hace es algo ms tcnico y sustentado slo en el sentido comn, se

evalan servidores o aplicativos y se procede a protegerlos, pero el 90% de las
compaas no realiza un verdadero anlisis de impacto al negocio para ver qu
debe contemplar su DRP o su plan de continuidad, enfatiza Bertran.

Algo que tampoco se debe pasar por alto en todo esto es alcanzar los niveles de
servicio esperados por la direccin en los sistemas y procesos recuperados, as
como tener bien establecido el tiempo tolerable por la directiva para tener fuera un
sistema o proceso.

Por supuesto, no es necesario implementar a pie juntillas todas estas prcticas,

porque las recetas no existen en esto, cada empresas deber utilizar las que le
sean ms funcionales e incluso otras.

As se hace en Alestra
Ricardo Morales, gerente de seguridad de informtica e implementacin de
servicios menciona que en esta compaa se utilizan mejores prcticas como: plan
de continuidad del negocio; anlisis de riesgo y mtricas que se monitorean y
pasan por auditoras.
Adems existe en la empresa un comit de seguridad, con validez oficial sobre
aprobaciones, cuyas juntas ordinarias se realizan de forma bimestral con el fin de
evaluar el seguimiento de los proyectos de proteccin, tipos de vulnerabilidades y
manejo de incidentes.
Por otra parte, los objetivos del negocio y los de seguridad tienen tal alineacin,
que la direccin general y el mencionado comit han dado su total aval al sistema
de proteccin.
Asimismo, la capacitacin del personal respecto al tema de seguridad se
considera aqu algo crtico, adems dentro de las auditoras se verifica que
quienes operan los sistemas lo hagan de la forma correcta.
Interpretacin de las buenas practicas

La implementacin de las buenas prcticas para la seguridad informtica, la

primera prctica de la investigacin es Alienarse con los objetivos de la empresa,
para poder llevarlo a cabo dentro del proyecto sera necesario, conocer un poco
ms a fondo la empresa a que se dedica, como lo hace, y por qu lo hace, ya que
hasta ahora solo tenemos claros algunos de los propsitos que necesita lograr
nuestra empresa.

Teniendo en cuenta lo anterior, elaborar el mapa de riesgos, para el cual el

principal objetivo sera visualizar cuales son los riesgos que hay dentro de la
empresa, para conseguir esto sera necesario evaluar al personal que labora
dentro de la empresa, ver cmo es que manejan la informacin, donde se guarda,
y que personas son las que tienen acceso a los archivos.

Identificar qu porcentaje del personal esta consiente de que los datos que
manejan deben ser protegidos, y tambin que porcentaje no tiene muy claro este
concepto en base a esto implementar platicas o capacitaciones para recordarles
que el objetico de la empresa y as mismo crear conciencia al personal de que la
informacin se debe proteger.

Para tener mejores resultados el implementar polticas y lineamientos dentro de la

empresa, sera de gran ayuda ya el personal no olvide en ningn momento la
importancia de la informacin dentro de la institucin.

Sera necesario tener personal que est capacitado para en el mbito de la

seguridad informtica, en base a esto se podra implementar un comit de
seguridad informtica los cuales podran ser los jefes de rea de las oficinas para
que estos tengan mayor control de los datos.

Algo demasiado importante es que nosotros como desarrolladores, implantemos

seguridad dentro de nuestra pgina web para evitar problemas, una de las
opciones seria implementar contraseas encriptadas de esta manera se estara
protegiendo la informacin ya que sera ms difcil acceder a ella.

Despus de un mes sera necesario realizar una nueva evaluacin al personal,

para ver, los resultados e identificar como es que implementan la seguridad, en
los archivos y datos que estn realizando, ver si se estn cumpliendo todos los
lineamientos que se establecieron

Por ultimo tener en cuenta un plan, en caso de que ocurra algn incidente que
ocasione perdida de informacin, en este caso sera tener un respaldo en un
servidor que contenga la informacin ms importante. Verificar que en realidad
todo est funcionando bien y que la informacin est segura.