¿Cómo asegurar la información en la operación de mi empresa?

Diego Navarro
Escrito por Diego Navarro

Ingeniero de sistemas

Para mantener un buen nivel de seguridad de la información en cualquier organización es necesario proteger tanto los datos como la infraestructura que la soporta y la forma en que se utiliza. A esto se le conoce como seguridad de las operaciones. 

La seguridad de las operaciones en la empresa es un proceso que incentiva la protección de los activos de información de la organización a través de una gestión adecuada, la implementación de controles y una documentación que impidan la aparición de brechas que pongan en riesgo la información e infraestructura durante el desarrollo de las operaciones.

Pero… ¿cuáles son los activos de información que se deben proteger? 

  • Cualquier información que haya sido creada o usada en los procesos de la organización en cualquier medio ya sea digital o físico.
  • Todo el hardware y software utilizado para el procesamiento, transporte o almacenamiento de datos.
  • Las herramientas usadas para el desarrollo, mantenimiento y soporte de la infraestructura y los datos.

Teniendo claro qué es lo que debemos salvaguardar, hay algunos lineamientos que debes seguir para mantener la seguridad de las operaciones en tu empresa. A continuación profundizamos en ellos.  

1.Procedimientos operacionales y responsabilidades

Para garantizar el funcionamiento correcto y seguro de las instalaciones de procesamiento de información, debes tener en cuenta los siguientes aspectos:

  • Procedimientos operativos documentados

Documentar los procedimientos operativos y pónlos a disposición de todos los usuarios que los necesiten. De esta forma puedes garantizar un funcionamiento coherente y eficaz de los sistemas para el personal nuevo o los recursos cambiantes y, a menudo, pueden ser fundamentales para la recuperación ante desastres, la continuidad del negocio y cuando la disponibilidad del personal se ve comprometida.

Es importante que los documentos se mantengan en un estado correcto y actual y, por lo tanto, deben estar sujetos a procedimientos formales de administración de cambios y revisión periódica.

  • Gestión de cambios

Los procesos de cambio pueden conllevar riesgos asociados para la seguridad de la información. Es por eso que necesitas controles para que analizar los procesos de cambio así como también establecer siempre una planificación para los cambios a realizar en equipos, sistemas software etc. Acompañado de pruebas realizadas y comunicaciones a todos los involucrados.

  • Gestión de la capacidad

El uso de los recursos debe ser monitoreado, ajustado y se deben hacer proyecciones de los requisitos de capacidad futuros para garantizar el rendimiento del sistema requerido para cumplir con los objetivos  organizacionales. Esto se traduce en controles para:

    • Medición y seguimiento del uso de recursos
    • Previsión de uso a futuro
    • Planificar las ampliaciones de capacidad de los recursos cuando sea necesario
    • Optimizar el uso de recursos
  • Separación de los ambientes para desarrollo, pruebas y producción

Separa los entornos de desarrollo de los entornos de producción para evitar problemas de indisponibilidad o fallos en el servicio. Los entornos de desarrollo, código fuente y herramientas de desarrollo, tampoco deberían estar disponibles para los entornos de producción para evitar problemas de seguridad.

 

2. Protección contra códigos malicioso

El objetivo de este numeral es que la información y las instalaciones de procesamiento de la información en tu empresa estén protegidas contra el malware. Para ello debes tener controles ante software malicioso. Conceptual digital image of lock on circuit background

Dispón de sistemas de detección de código malicioso en los servidores y en los puestos de trabajo. Las medidas de protección para la red son muy útiles, tales como programas antivirus que controlen los archivos que se procesan o envían por correo electrónico.

La desactivación de macros antes de descargar archivos puede ser una ayuda muy eficaz en la lucha contra el malware. Además, necesitas establecer una política para prohibir la introducción de software no autorizado y proteger contra archivos o software de fuentes externas.

3. Copias de respaldo de seguridad de la información

Es necesario que establescaz una política de copias de seguridad o de respaldo de la información que tenga en cuenta la periodicidad con la que se hacen las copias, esto dependerá de las necesidades de recuperación de cada tipo de información.

También planifica la verificación de su validez, procedimientos de restauración y el modo en que se almacenarán y protegerán.

4. Registros y supervisión

3D businessmen assembling a puzzle with a supervisor checking the quality control

El seguimiento y la supervisión de los procedimientos te permitirán generar evidencia a través del registro de eventos, para la solución de incidentes y el mejoramiento. En este sentido necesitas:

  • Registro de eventos

Debes mantener un registro de los eventos pues a la hora de un incidente querremos determinar qué estaba sucediendo con los datos, la hora, la fecha del incidente, las personas involucradas, el origen y las causas, etc.

  • Protección de la información de registros (LOGS)

Los registros de eventos deben tener el nivel de protección apropiado para evitar pérdidas, corrupción o cambios no autorizados. Si es posible el administrador del sistema no debe tener permiso para borrar o desactivar el registro de sus propias actividades.

  • Registros del administrador y operador

Un buen control describe cómo es necesario registrar las actividades de cualquier administrador y operador del sistema y proteger los registros y revisarlos periódicamente. Presta especial atención a mayores niveles de registro para cuentas privilegiadas, como administradores y operadores del sistema.

  • Sincronización de relojes

A la hora de registrar eventos es imprescindible que todos los sistemas de procesamiento estén sincronizados.

 

Profile of concentrated young software developer eating pizza and coding at home

5. Control de software operacional

Para garantizar la integridad de tus sistemas operativos es importante mantener procedimientos para controlar fácilmente las instalaciones legítimas de software en cualquier dispositivo dentro de tu organización.

6. Gestión de vulnerabilidad técnica

Gestionar las vulnerabilidades es necesario para prevenir la explotación de las mismas, identificando las posibles debilidades técnica de tu organización mediante:

  • La consulta de foros especializados
  • Mantener actualizada la información de fabricantes y proveedores
  • Realizar pruebas de ataques simulados (hacking ético)
  • Escaneos periódicos de vulnerabilidades

Debe haber un equilibrio entre el imperativo de seguridad de implementar parches de vulnerabilidad lo más rápido posible y el imperativo de seguridad de probar los parches lo suficiente para garantizar la disponibilidad e integridad continuas de los sistemas y la minimización de incompatibilidades.

Cyber Security Concept. The Word of Red Color Located over Text of White Color.

 

  • Restricciones en la instalación de software

La instalación de software debe realizarse por personal autorizado y con la capacitación adecuada. Aquí se trata de definir unas reglas concisas para limitar la capacidad de los usuarios para instalar software, especialmente en dispositivos locales. 

7. Consideraciones sobre la auditoría de sistemas de información

La auditoría en los sistemas operacionales es común,por lo que es necesario tener controles y procedimientos que permitan minimizar el impacto de las actividades de la auditoría.   

Compliance Concept. Word on Folder Register of Card Index. Selective Focus.

En este sentido, los requisitos de auditoría y las actividades que implican la verificaci

ón de los sistemas operativos deben planificarse y acordarse cuidadosamente para minimizar las interrupciones en los procesos comerciales.

Los aspectos que se evalúan en una auditoría son:

  • ¿Los usuarios están trabajando con los privilegios correctos?
  • ¿La infraestructura es estable y confiable?
  • ¿Las infraestructuras cuentan con la suficiente capacidad (memoria, procesamiento, almacenamiento, ancho de banda, etc)?
  • ¿Cómo puede ser mejorado?
  • ¿Las pruebas realizadas son efectivas?
  • ¿Cuán efectivas son las actividades de mantenimiento, monitoreo y gestión?
  • ¿Qué hacen los usuarios del sistema?

Con esta información ya tienes las bases para comenzar a construir tu plan para proteger la información de las operaciones en tu empresa. Recuerda que es importante documentar los procedimientos operacionales de copias de respaldo, las auditorías,  los controles de vulnerabilidad, los eventos e incidentes detalladamente.

Si tienes implementados softwares para fomentar la transformación digital en tu empresa, asegúrate de tener procedimientos claros en los ambientes de producción, pruebas y desarrollo para garantizar la integridad de la información, y lo más importante involucra a todos los miembros de tu empresa, porque proteger las operaciones solo se consigue por medio de la corresponsabilidad en la seguridad de la información. 

Por último, te invitamos a que gestione la seguridad de la información de forma simple y efectiva con KAWAK®, el software de gestión de la calidad que centraliza Los insumos que necesitas para tomar las medidas preventivas y reactivas sobre la confidencialidad, disponibilidad e integridad de la información. 

Tecnologia para seguridad de la informacion

¿Tienes más preguntas? ¿Necesitas solucionar un tema en particular?

 

Publicaciones recientes

Suscríbete aquí a nuestro blog:

Nueva llamada a la acción