Uncategorized

#Opinión: 10 recomendaciones para fortalecer la seguridad de la información

Todas las organizaciones poseen y usan activos de información que merecen la protección por parte de los profesionales administradores de seguridad. La seguridad de la información -o ciberseguridad- es una labor de evaluación y gestión de riesgo, y no de eliminación del riesgo. La mitigación total de ataques de esta naturaleza es imposible; pero con la adecuación de estrategias sinérgicas que nos permita adoptar un enfoque de seguridad en profundidad, que opere en capas concéntricas de defensa, detecte, retarde y responda ante cualquier amenaza de intrusión no autorizada y fomente la resiliencia, la restauración y recuperación de la operatividad del negocio se  fortalecerá la prevención y por ende la disminución de incidencias de ataques de esta naturaleza. 

Una estrategia de seguridad de la información debe ser diseñada para apoyar los objetivos, estrategia, reputación y cronología de la organización. Además, debe complementar y operar armónicamente con los demás procesos macros de seguridad, productividad y control de calidad. Una estrategia de esta naturaleza, se logra aplicando los mismos principios empleados para el diseño del Plan de Seguridad Física para activos tangibles. Lo primero que hacemos es evaluar el riesgo, preguntándonos cuales son nuestros activos más valiosos, quienes son los actores que conforman la amenaza, cuales son las consecuencias y cuáles son las vulnerabilidades. Posteriormente, implementamos un programa de gestión de riesgo, es decir diseñamos estrategias de mitigación basada en el riesgo e identificamos brechas en la protección y posibles soluciones sin obstaculizar la operatividad de la empresa. Como señala Richard Heffernan, ex presidente del Consejo de Protección de Activos de Información de ASIS, citado por el manual Protección de Activos, seguridad de la información: “Evaluar y abordar los riesgos permite trabajar



Existen diversas aproximaciones para gestionar estrategias de seguridad de la información, unas preventivas, otras reactivas u otras inexistentes. A pesar de estos diferentes enfoques -y la ausencia de los mismos- recomiendo los siguientes 10 pasos para fortalecer la seguridad de la información dentro de las organizaciones. Estas recomendaciones tienen como objeto servir de referencia para aquellos administradores de seguridad que estén diseñando, rediseñando o evaluando sus políticas de seguridad de la información.

  1. Evalúa y conoce tu perímetro. Eso significa saber en lo más mínimo a quien se le permite el ingreso a un sistema. Es como el control de entrada y acceso diseñado e instalado para un área física restringida.
  2. Establece el principio de segmentación para proteger los activos más sensibles y críticos de otros. La segmentación se puede reflejar en la asignación apropiada de privilegios administrativos.
  3. Establece fuertes controles de acceso y gestión de identidades. No dejes la seguridad inicial de tu organización dependiendo sólo de una contraseña.
  4. Monitoree, pruebe, diagnostique y corrija fallas que vulneren la seguridad del sistema.
  5. Diseñe de manera profunda y equilibrada. Tenga en cuenta que debe existir un equilibrio en los controles a lo largo del sistema.
  6. Cifre y/o encripte datos que sean valiosos. Es decir, datos sensibles que necesiten viajar abórdelos dentro  del vehículo blindado.
  7. Planifique y monitoree la amenaza interna. A menudo, este tipo de actor representa la mayor amenaza para la organización.
  8. Avise, entrene y capacite los miembros de la organización para detectar brechas de seguridad que vulneren los controles. La clave es capacitar y entrenar para escenarios reales.
  9. Diseñe su red de forma holística. Un sistema de seguridad de la información debe integrarse con los demás procesos macros de la organización.
  10. Y por último, pero no menos importante, desarrolle y gestione un plan de  emergencia y respuesta ante eventos no deseados causados por ataques cibernéticos.

No existe una fórmula mágica para prevenir y/o detener ciberataques. Aunque los recientes ataques a escala global han permitido a las organizaciones aprender y adaptar sus estrategias de protección para hacer más efectivo el rendimiento sus programas de seguridad de la información, el nivel de interconectividad global y los constantes cambios en la tecnología, hacen de las amenazas a los activos de información las más difusas, de rápida acción y las más difíciles de reconocer. En pocas palabras, todo un desafío para los profesionales que integramos el sector.

Previous post

17 noviembre 2017: Boletín de inteligencia sobre riesgos de violencia en la región

Next post

20 noviembre 2017: Boletín de inteligencia sobre riesgos de violencia en la región

Carlos Morales

Carlos Morales

Carlos Morales es el fundador y director ejecutivo de Strategies Consulting CA. El conduce la estrategia global de negocios de la empresa, además de proyectar los servicios a empresas y organizaciones a nivel nacional e internacional. También supervisa la eficiencia financiera y operativa de Strategies Consulting CA, el desarrollo de soluciones para la seguridad, la innovación de productos; además del crecimiento y las relaciones estratégicas con los clientes

1 Comment

  1. 24 noviembre, 2017 at 9:17 PM —

    Un sin fin de material para leer! Sacare tiempo de donde no tenga pero revisare todos los artuculos!!!! Gracias!

Leave a reply