Seguridad Informática
Consultoría en Seguridad
Las razones para la realización de un consultoría de este tipo pueden ser variadas y giran entorno a la necesidad de una organización por ser competitiva. Esto provoca la necesidad de una visión del modelo informático y de negocios futuros para tener una idea clara de la dirección hacia donde avanzar.
Desde el punto de vista del área de informática, esta visión está encarnada en una consultoría en seguridad, que permita poner la tecnología al servicio de la seguridad de negocio. Esta consultoría busca ayudar a alinear sus objetivos de negocio y tecnológicos con el fin de mejorar el valor que la empresa obtiene a partir de dicha tecnología. Es claro que la división de TI en una empresa debe existir para brindar soluciones a la problemática y necesidades de los procesos de negocio.
Una consultoría en seguridad es el resultado de un proceso continuo. En la realidad tecnológica del día de hoy, la solución propuesta por Urudata Security Consulting – y en la que se fundamenta la presente propuesta consultiva– consiste en aproximaciones por medio de sucesivas versiones ligada a la propia evolución del negocio. Esto es, en lugar de planificar la realización de un plan completo de uno a dos años, se opta por la secuencia continua de procesos aprovechando la evolución tecnológica y del negocio en el período en consideración.
Dentro de los aspectos claves a tener en cuenta a la hora de realizar un trabajo consultivo en Seguridad Informática, se incluyen entre otras, el desarrollo y aplicación de políticas de seguridad corporativas, la seguridad perimetral implementada a través de técnicas de Firewalling, la autenticación y encriptación de datos mediante certificados y firmas digitales, la detección de intrusos y la detección de vulnerabilidades.
Actualmente, el aumento en la exposición de los sistemas informáticos de las organizaciones, impulsado por los crecientes cambios tecnológicos, ha llevado a las empresas a tener que mantener un balance entre la explotación de las nuevas posibilidades que potencian los objetivos de negocio y los riesgos que dicha explotación produce.
Esto ha llevado que hoy en día, uno de los aspectos de mayor criticidad en toda organización es la de asegurar la privacidad de sus datos y la inviolabilidad de sus sistemas. Para esto es necesario llevar adelante una gestión efectiva de los riesgos e implementar las contramedidas necesarias para minimizar la superficie de ataque que los sistemas de información presenten tanto al exterior como al interior de la empresa.
Todo sistema informático es, en mayor o menor medida, vulnerable a ataques maliciosos realizados a través de Internet o incluso desde dentro de la propia empresa, cuyo resultado – robo, modificación y pérdida de información, caída de sistemas, envío de correo “basura” desde equipos propios, etc. – puede generar importantes pérdidas económicas y daño a la imagen de la empresa.
Diariamente los expertos descubren y publican nuevas vulnerabilidades e incluso aquellos sistemas en que sus administradores cumplen con las “mejores prácticas” recomendadas por especialistas, organizaciones de seguridad informática y los propios fabricantes de software, presentan debilidades y brechas potencialmente explotables por intrusos y “hackers”
Ciertamente es indispensable que los administradores lleven adelante prácticas sanas, que disminuyan la exposición y mitiguen los riesgos asociados, entre otras: utilización de “firewalls” , actualización continua del software con los parches de seguridad de sus fabricantes, mantener abiertos solamente aquellos puertos TCP y UDP que estén siendo utilizados, bajar todos los servicios innecesarios, no utilizar contraseñas por defecto, en blanco o fáciles de descifrar, contar con procedimientos sistemáticos y auditados para respaldar la información, entre otros. A su vez es necesaria la realización de auditorías de seguridad periódicas, realizadas por empresas especializadas.
Es en este marco que Urudata realiza consultorías en seguridad sobre ambientes multiplataforma, integrando la capacitación y experiencia de campo de nuestros ingenieros y el uso de las herramientas más completas, específicas y actualizadas para la detección de los diferentes tipos de vulnerabilidades.
El objetivo fundamental de la presente propuesta consultiva, apunta a realizar una evaluación exhaustiva en torno a los aspectos de seguridad –tanto lógica como física– de los sistemas de información dentro de una organización. Este análisis de la situación de los sistemas de información de la organización permite evaluar el estado actual de los mismos y compararlos con las recomendaciones expresadas en las normas ISO 27001 (norma certificable) e ISO 17799:2005 (recomendaciones). De esta comparativa surge la brecha (GAP) entre ambos estados de situación, la cual podrá reducirse o eliminarse totalmente mediante la implementación de una serie de controles y medidas planteadas como resultado de la presente consultoría (planes de proyecto a corto y mediano plazo). Más adelante en la propuesta se mencionan los aspectos de seguridad que se tendrán en cuenta a la hora de realizar dicho estudio. Como mencionamos anteriormente y sumado al análisis de brecha a presentar, se realizarán una serie de recomendaciones tanto metodológicas como de producto de forma de poder atacar las diferentes fallas de seguridad que surjan del estudio de situación.
Dentro de este proceso de auditoria de los sistemas de información críticos dentro de la organización, se logran identificar las brechas de seguridad que existen de forma de poder planificar su progresiva eliminación.
Al disponer de esta información, el cliente podrá tener una imagen actual del nivel de riesgo de sus sistemas informáticos y podrá responder de forma acorde al resultado de la consultoria.
Para poder realizar la consultoría deberán definirse los activos considerados críticos, sobre los cuales se lleva adelante un análisis de riesgo primario, sentando las bases para la generación de un proceso de Gestión de riesgos a nivel global.
Dentro de los beneficios que brinda el proceso consultivo se destacan:
* Determinar el nivel de seguridad existente en los sistemas informáticos.
*Identificar las actualizaciones de seguridad faltantes a nivel de sistema operativo y software de base (Servidores de Base de Datos, Mensajería, Web, etc.)
* Identificar las posibles entradas de ataques externos o internos, evaluando las vulnerabilidades.
* Disponer de una estrategia clara para alcanzar niveles óptimos de seguridad en los sistemas informáticos de la organización, de acuerdo a las mejores prácticas de la industria.
*Poder iniciar el camino hacia un proceso continuo de Gestión de riesgos o disponer de una evaluación del mismo si existiere.
*Acercar los procesos y tecnologías de la organización a los lineamientos requeridos por la norma BS 7799–2, de manera de poder apuntar en el futuro a una posible certificación.
Para realizar el análisis de brecha (GAP análisis) entre la situación de seguridad actual y el escenario recomendado, Urudata se basa fundamentalmente en las normas ISO27001/ISO17799:2005.
Por este motivo, las áreas contempladas en esta evaluación son los siguientes 10 capítulos de las normas citadas:
* Política de seguridad
* Organización de la seguridad
* Clasificación y control de activos
* Seguridad de Recursos Humanos
* Seguridad Física y ambiental
* Gestión de comunicaciones y operaciones (Gestión de equipos y redes)
* Control de accesos
* Adquisición, Desarrollo y mantenimiento de sistemas (Seguridad de aplicaciones)
* Gestión de incidentes de seguridad
* Gestión de la continuidad del negocio
* Cumplimiento de compromisos legales y contractuales