Mantener la securidad TI es una lucha constante para las empresas en el sector público y el privado. La adopción de informática en la nube, politicas de conducir-su propio-dispositivo (BYOD) asi como la penetración de "la sombra TI" dentro de las organizaciones están agravando el problema. Desglosamos las cosas en cinco pasos con el fin de hacer el cumplimiento de la seguridad un poco más fácil para su negocio.
Los estándares de cumplimiento de seguridad están facilmente disponibles a traves de varias industrias. Tenemos el directorio de señales Australianas (ASD) estándares para agencias de gobierno y PCI DSS para la industria e pagos, pero no son exactamente fáciles de seguir. Estos estándares usualmente incluyen un plétora de controles muy técnicos que las organizaciones necesitan implementar y es a menudo dificil comunicarlos a empleados lideres de negocio quienes poseen poco conocimeinto en seuridad informática.
Es crucial que todos los empleados estén comprometidos con las practicas de seguridad de su negocio, asi en la cima de los estándares usuales que pueden ser adoptados para el cumplimiento de la seguridad, las compañias necesitan observar los controles internos de configuración que son de agrado para esos que no son particularmente técnicos. El director ejecutivo de seguridad de redes de Tenable y veterano en la industria, Ron Gula, recomienda la adopción de estos cinco pasos para mejorar el nivel de seguridad informática de las organizaciones:
Rastree su inventario autorizado de hardware y software
Suena sencillo, pero hay muchos trabajadores traen sus propios dispositivos y los conectan al corporativo utilizando aplicaciones de terceros que no están aprobadas por su departamento de sistemas, lo que hace al hardware y software dificiles de rastrear.
Como se ha señalado en nuestra historia previa, historia de la sombra TI, llevar a cabo un dialogo abierto con los empleados es importante. La mayoria de los trabajadores no quieren deliberadamente romper las reglas, pero muchos sienten que no tienen opción porque la TI suministrada por sus compañias es muy inadecuado. Entendiendo las quejas de estos trabajadores y dejandoles saber que los riesgos potenciales de seguridad son pasos cruciales en la remediación y el abordaje del problema.
Continuamente remueva vulnerabilidades y desconfiguraciones
De acuerdo con Gula, Las organizaciones usualmente se ponen en acción cuando ocurre un incumplimiento, pero para ese entonces, sería un poco tarde. Las empresas se pueden volver laxas en la busqueda activa de huecos de seguridad en sus redes, pero esta es una parte clave para prevenir que ocurran incidentes. El consejo de Gula para las empresas es adoptar auditorias en tiempo realde sus redes corporativas para remover vulnerabilidades y desconfiguraciones como sean encontrados.
La seguridad de las redes debería volverse un hábito diario para refrenar la corriente de vulnerabilidades
La seguridad debe ser algo que esta al frente de las mentes para las compañias y empleados, necesitan ser conscientes que cada uno tiene una responsabilidad en la protección de sus organizaciones. Tener visibilidad de lo que eta ocurriendo en la red corporativa y revisarla diariamente, son cosas que todas las empresas debería hacer.
Brindar acceso a usuarios para solo lo necesario
No todos los trabajadores requieren acceso a todas las aplicaciones y sistemas, todo el tiempo. El ser selectivo en la provisión de acceso a empleados, las compañias pueden reducir los puntos de entrada potenciales para las brechas de seguridad. Por supuesto, no sea muy drastico con este enfoque bloqueando todo y requiriendo que los trabajadores pasen por un largo proceso para ganar compensación, ya que puede adversamente impactar la productividad de su organización.
Busqueda de virus e intrusos
Mantengase al margen de las noticias se seguridad informática con el propósito de entender que amenazas esta buscando. Los atacantes están contantemente encontrando nuevas formas y adquiriendo nuevas tecnologias para irrumpir en la redes corporativas y sus esfuerzos se están volviendo mas dirigidos y sofisticados.
Gula indica que estos dias, no es una pregunta si usted será atacado, es el cuando. Mantenerse vigilante a nuevos tipos de amenazas y estar atentos de actividades anormales en la red, es una manera de prevenir brechas serias.
“ Los controles por si mismos son buenos, pero no magicamente hacen que su negocio sea mas seguro, el hecho de que este rastreando su red y constantemente mejorando sus estructuras de cumplimiento, esto realmente funciona, añade Gula.
