Security 360

DyNet ha estado en el mercado de la Seguridad de la Información los últimos 16 años y durante todo este tiempo ha visto grandes cambios en la industria, donde en un inicio para compartir el Internet telefónico se realizaba por medio de una simple computadora que lo compartía con Wingate o herramientas sencillas y nada de seguridad. Posteriormente los enlaces dedicados se compartían únicamente con ruteadores que hacían la función de NAT y ya. La seguridad de las empresas no existía, hasta que comenzamos a ver los primeros ataques en 1999 y los antivirus dejaban de ser la única herramienta de seguridad que existía. Ya había firewalls, pero eran muy pocas las empresas que los tenían y eran ciencia galáctica, nadie realmente entendía cómo funcionaban y de qué protegían.

Después de mucho tiempo de evangelización finalmente la adopción de firewalls fue algo generalizado, sin embargo, comenzaron a surgir nuevos jugadores en la escena: IDS/IPS, HIPS, Honeypots, APTs, DLP, etc., etc.

Compromiso DyNet

Dentro de este mundo de opciones de tecnología, procesos y capacitaciones para seguridad muchas empresas se han perdido en seleccionar la mejor tecnología para ellos y han perdido de vista los procesos y la capacitación para la gestión de la Seguridad de la Información como un todo, no solo conocer la gestión de un firewall un IPS o un DLP, sino tener la capacidad de conocer el estado actual de su organización en este aspecto, conocer hacia dónde quiere llegar y sobre todo, saber cómo llegar ahí dando los mejores resultados a todos los “stakeholders” o parte interesadas. Es decir, darles la mejor solución a los usuarios finales sin restarles productividad, con el mejor precio y gestionarla de la mejor manera.

Es en este punto donde muchas empresas emplean el recurso de contratar los famosos “Servicios Administrados” donde tercerean la administración de algunos de sus servicios, pero no se gestiona la visión a largo plazo. 

Igualmente, al paso del tiempo ha habido muchas, anteriormente llamadas “Mejores Prácticas”, “Buenas Prácticas” tales como BS7799 que dio paso a la familia ISO27000 y muchas más que han venido evolucionando para llegar hoy día a NIST Cybersecurity Framework, Controles Críticos de Ciberseguridad del Centro para la Seguridad de Internet (Critical Security Controls from Center of Internet Security, en inglés), CoBIT con su tema de Gobernabilidad, etcétera.

Con el tema de entrenamiento también ha sido similar, hoy en día existen cientos de certificaciones de seguridad relacionadas a fabricantes y otras que son agnósticas, más no hay una sola que cubra todos los aspectos de la seguridad de la información, se requiere la integración de múltiples con enfoques distintos.

Metodologia unica DyNet

 

DyNet ha escuchado muchas veces: Bueno, ¿y por dónde comienzo a armar la estrategia?

Como respuesta hemos diseñado una metodología llamada Security 360 haciendo referencia a tener una seguridad completa, en 360°.

Esta propuesta está compuesta por los siguientes elementos:

  1. Análisis GAP
  2. Identificación de Riesgos
  3. Elaboración de propuesta

Características

Análisis GAP

El análisis GAP consiste en la revisión de 4 puntos importantes y compararlos contra buenas prácticas, basándonos en la identificación de los activos más importantes del principal proceso de negocio de la organización.

Alineación de Objetivos

La mayoría de las empresas a inicio de año establecen sus objetivos y diseñan estrategias para lograrlos, sin embargo, no todas bajan en cascada esos objetivos al área de TI o al área de Seguridad de la Información. Lo que hacemos en este tema es conocer los objetivos, ver su alineación y conocer el pormenor de los objetivos y estrategias para ver el cómo sí podríamos alinear al área de Seguridad.

Análisis de Procesos

Existen múltiples empresas que están certificadas con ISO9001 que ya cuentan con procesos, o inclusive con ISO27001 o alineadas a ITIL o CMMI, en esta etapa buscamos conocer a profundidad su nivel de aplicación, de efectividad y de alineación hacia la Seguridad de la Información. De igual manera, analizamos las políticas existentes para ver si están alineadas con la estrategia corporativa o conocer dónde se puede mejorar.

Análisis de Tecnología.

Muchas veces las empresas que se dedican a la proveeduría de soluciones tecnológicas enfocan sus esfuerzos en la funcionalidad perdiendo de vista la seguridad, es decir, implementan para que funcione, no para que funcione y sea seguro.

Durante esta revisión, se solicitará información de diagramas, configuraciones, se podría solicitar acceso a las soluciones y se ejecutarán herramientas automatizadas para conocer el nivel de seguridad y comparar las configuraciones contra buenas prácticas internacionales.

Análisis de Personal

Muchas veces no se tiene personal explícito o suficiente para Seguridad, o las personas no cuentan con el entrenamiento adecuado según su rol. Es por ello que se realiza un análisis de la cantidad de personas que se tienen para el área, se les realiza una Detección de Necesidades de Capacitación (DNC) y se comparan los resultados contra los perfiles propuestos por buenas prácticas internacionales y con la capacidad operativa contra la cantidad de empleados de la organización.

 

Teniendo toda esta información se concentra y se sigue con el siguiente paso.

Análisis de Riesgos

Teniendo los resultados anteriores extraemos las amenazas internas y externas, determinamos las vulnerabilidades, y realizamos un cruce para obtener riesgos. A partir de ahí se plantea una Gestión de Riesgos donde se prioriza por impacto, probabilidad y costo relacionado, y se determina si se transferirá, controlará, mitigará o asumirá.

Elaboración de Propuesta

El primer paso para la elaboración de la propuesta es plantear la Misión, Visión, Objetivos y estrategias corporativas. A partir de ahí se define, junto con el cliente, la visión de Seguridad de la Información, y se plantean estrategias que nos permitan solventar de una manera agrupada y organizada los riesgos encontrados. Cada una de estas estrategias tendrá una serie de objetivos SMART, Indicadores Claves de Rendimiento (KPIs) y planes de ejecución.

Con el fin de soportar dichas estrategias se definirán programas que no solamente dependerán del área de Seguridad de la Información o TI, sino que podrán ser a nivel corporativo involucrando al área de Desarrollo Humano, Legal, Cumplimiento, etcétera.

Finalmente se pondrán los roles sugeridos para soportar estas estrategias y programas, así como su comparación contra la capacidad actual y en caso de requerirse la capacitación adecuada para lograr cumplir los perfiles y más aún, los objetivos de puesto y del proyecto.

Una vez teniendo todas las estrategias se plantean en una línea de tiempo, donde se podrían ir ejecutando, ya que muchas veces son estrategias multianuales.

Para terminar, cabe resaltar que las propuestas realizadas como resultado de este análisis serán agnósticas de marcas y proveedores, se señalará los requerimientos técnicos y se podrían poner sugerencias de marcas que podrían realizar dichas funciones, sin embargo, no siempre será así.

Beneficios:

  1. Permite alinear los objetivos estratégicos con los objetivos de Seguridad de la Información.
  2. Justifica los proyectos de Seguridad de la Información.
  3. Establece planes multianuales que permiten conocer una estrategia a mediano plazo, permitiendo inversiones pausadas y con sentido.
  4. Establece lineamientos claros para la Seguridad de la Información dentro de la organización.
  5. Alinea los requerimientos de los Socios, Directivos, Colaboradores y Clientes respecto a la seguridad de la información.