Controles de Seguridad – Primeros pasos de implementacion (Parte 1)

Controles de Seguridad - Primeros pasos (Parte 1)

SEGURIDAD CORPORATIVA

Uno de los aspectos más importantes en las organizaciones, es la de garantizar la operación contínua de los servicios críticos de la institución y es justo acá donde inician las primeras consulta:

  • ¿Cuáles son las Plataformas o Servicios Críticos?
  • ¿Cómo identicicar cúales son los Servicios Críticos?

La definición de un SERVICIO CRITICO se puede establecer como, aquel servicio del cual depende el ingreso de la organización, es decir, la generación de utilidades o aquellos servicios que facilitan las operaciones del día a dia en la empresa, no necesariamente para efecto de lograr una venta. Imagina una empresa de logística, que como tal no genera una transacción de venta como tal, sino los aspectos mismos de etiquetado de paquetes, establecimiento de rutas, manejo de pedidos, etc…etc…

Entonces…. volviendo a una definición inicial, un SERVICIO CRITICO es todo aquel servicio y/o plataforma de software o hardware que facilita a la organización que se puedan ejecutar sus operaciones diarias principales o la generación de ingresos en la compañia.

Veamos un ejemplo a continuación:

La imagen anterior, corresponde aun BILLING SYSTEM (Sistema de Facturación), el diagrama como tal muestra las etapas por las cuales debe el usuario de pasar o los procesos que se deben de realizar para que se puedan brindar un servicio al cliente, acá podemos rescatar los siguientes aspectos:

  • Es necesario SIEMPRE contar un procesos documentados
  • La documentación de los procesos permite que podamos la visibilidad de aspectos claves como:
  • Responsables en cada etapa de ejecución del proceso
  • Sistemas involucrados en la prestación de un servicio
  • Los servicios críticos incluye la identificación de tiempos de respuesta o los tiempos en que el servicio debe de estar entregado al usuario final o para que la siguiente etapa del proceso pueda continuar.
  • En dependencia de la cantidad de clientes que el proceso atiende o de los atrasos que el proceso pueda generar al verse interrumplido, se establece un nivel de criticidad sobre dicho proceso debido a la afectación que se pueda tener.

Es justo esto el PRIMER PASO por realizar cuando se realiza un servicio consultivo sobre aspectos de seguridad informática, si yo sé que estabas pensando en cosas como:

  • Ataques de penetración a los sistemas
  • Análisis de vulnerabilidades
  • Escaneo de puertos
  • etc….etc..

Esas acciones vienen justo despues!!! no procederemos a “disparar al aire” sin antes tener un objetivo claro a proteger o por analizar y aunque parezca broma a veces resulta más dificil identificar y MAPEAR todas las dependencias de los sistemas críticos y ¿saben por que? por lo general en las organizaciones NO HAY DOCUMENTACION, los departamentos de IT o de Desarrollo no tienen el MAPEO DE DEPENDENCIA entre los sistemas que facilite identificar afectaciones o el efecto domino ante una falla de algún sistema.

TIPOS DE CONTROLES

Uno de los aspectos con los que se inicia al momento de buscar la implementación de controles de seguridad sería basado en los siguientes aspectos:

  • Autenticación de usuarios 
  • Verificar períodicamente quienes ingresan, los errores de autenticación, desde qué equipos ingresan, horarios de ingreso entre muchas otras cosas relacionadas a la trazabilidad de eventos.
  • Cuentas de usuarios genéricos
  • Siempre por requerimientos de implementación de aplicaciones o nuevos servicios, se crean cuentas de usuarios de tipo genéricos, estas cuentas por lo general tienen privilegios elevados al interior de los sistemas, es por eso queeeee… debemos de asignar una responsabilidad del uso de dichas cuentas a usuarios que por lo general son los mismos administradores de los sistemas.
  • Proceso de Creación / Modificación / Baja de usuarios
  • Este más que un control es un procedimiento que debe de pasar un una autorización del gerente del área responsable al usuario que se estará modificando, para que finalmente los diferentes administradores de los sistemas a los que tendrá acceso dicho usuario puedan proceder a crearlo / modificarlo / eliminarlo.
  • Acceso a la ubicación de los equipos
  • Este es más un control físico que permite delimitar quienes son los autorizados en poder ingresar a la sala de equipos, normalmente únicamente los administradores son los únicos que tienen acceso, si es requerido que un proveedor o alguien adicional tenga acceso, deberá de ser acompañado por un administrador autorizado.
  • Igual debe de existir un registro por escrito o através de una aplicación que facilite la generación de un reporte de dichos accesos.
  • Registro de configuraciones
  • Cuando se trata de equipos de comunicación, de seguridad o aspectos de parametrización de un sistema crítico, es importante tener un esquema de autorización y control de los cambios que se puedan realizar a las configuraciones de dichos sistemas, para buscar identificar si dichos cambios no generarán afectación o algún posible riesgo.

De forma general existen 3 tipos de controles:

  • Controles Preventivos (Buscan evitar que fallas/incidencias ocurran)
  • Controles Detectivos (Están para detectar fallas/incidencias)
  • Controles Correctivos (Se usan para realizar la remediación de las fallas/incidencias)

¿Qué es un ACTIVO DE INFORMACION?

No todo lo relacionado a la implementación de controles se refiere a proteger un sistema informático, las transacciones de una base de datos o carpetas en una ubicación compartida, también como parte de la clasificación e identificación que se debe de realizar aparecerán aspectos importantes a proteger como por ejemplo:

  • Documentos Contractuales
  • Documentos impresos de caracter confidencial
  • Expediente de clientes 
  • Diagramas de nuevos diseños de productos
  • Documentos financieros
  • … en resumen cualquier documento que deberá de resguardarse.

Todo lo anterior deberá de formar parte del INVENTARIO DE ACTIVOS DE INFORMACION en donde se incluyen elementos como:

  • Hardware
  • Software
  • Archivos
  • Documentación 

Este inventario se lleva de manera fácil inicialmente en un archivo de EXCEL para su respectiva clasificación como se muestra a continuación:

Todo lo anterior forma parte de los pasos iniciales para comenzar a identificar:

  • Procesos críticos
  • Infraestructura tecnológica requerida para la operación de los procesos críticos
  • Identificación de recursos tangibles (físicos) que son confidenciales

Una vez tengamos esa identificación se realiza la FASE 2 que es la de realizar un análisis de riesgos y la FASE 3 seria la de establecer los controles de seguridad para controlar y evitar que los riesgos identificados se puedan realizar.

La realización efectiva de estos primeros pasos determina la efectividad que se tendrá al momento de implementar los controles.