miércoles, 22 de mayo de 2013

Cómo realizar un Plan Director de Seguridad en 5,3 pasos

Paso 1
Podemos decir de una manera genérica que el objetivo es definir, implementar y gestionar una serie de medidas o controles de seguridad que garanticen la confidencialidad, integridad, disponibilidad… de la información.
Paso 2
La pregunta a continuación sería ¿qué medidas o controles?. Estas medidas o controles han de ser de carácter técnico, organizativo, procedimental e incluso legal. La fuente de estas medidas son los requerimientos de negocio:
  • Las obligaciones legales, normas o políticas internas a las que ha de hacer frente (LOPD, SOX, PCI, ISO 27000, etc.  propiedad intelectual, aspectos contractuales con proveedores…)
  • El resultado de un análisis de riesgos en el que se defina qué riesgos existen, qué criterios de aceptación del riesgo establecemos y cómo los tratamos (aplicando controles o, por ejemplo, asumiendo, evitando o transfiriendo dichos riesgos).

Paso 3
El resultado consistirá en un conjunto de controles con sus medidas detalladas que se deberán aplicar en la organización. Controles que aplicarán a diferentes dominios de la seguridad: gestión de activos, proveedores, seguridad ligada a RR.HH, seguridad física y ambiental, gestión de comunicaciones y operaciones de TI, control de acceso…
Paso 4
Todos esos controles a mejorar o implementar se deben agrupar en función, por ejemplo, de:
  • Similitud de las medidas en cuanto a tipo de soluciones técnicas
  • Activos o dependencias a las cuales aplican las medidas
  • Por departamentos
  • Por estado de madurez, etc.

Paso 5
Estas agrupaciones resultarán en un conjunto de proyectos (ej: creación y gestión de políticas, arquitectura de red segura, aspectos jurídicos, tratamiento del malware…) que se han de evaluar, presupuestar, priorizar y planificar en un Plan Director de Seguridad.
5,1 Este enfoque garantiza un aproximación de arriba-abajo que tome como punto de partida los requerimientos del negocio.
5,2 La cuota de mercado de las herramientas y soluciones de seguridad está muy segmentada. No hay dominadores claros y sí que existen muchas soluciones de nicho de alto nivel. Por otro lado muchas soluciones parece que hacen lo mismo. Es por eso que, a la hora de escoger una solución o herramienta es imprescindible:
  • Recurrir a tests independientes y referencias de mercado que ayuden a hacer un filtrado.
  • Realizar una prueba de concepto que ayude a validar la idoneidad de la solución.

5,3 Idea final. Respecto al análisis y gestión de riesgos es importante dar un salto conceptual y empezar a pensar en ellos como una herramienta de creación de valor que debe ser un componente esencial del análisis estratégico de la empresa. Si más allá de analizar únicamente los riesgos tecnológicos nos planteamos un análisis de los riesgos operacionales, el debate