Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CIBER
SEGURIDAD
10 PASOS HACIA
UN NEGOCIO
MS SEGURO
NDICE DE CONTENIDOS | 03
GUA DE LA CIBERSEGURIDAD
10 PASOS HACIA UN
NEGOCIO MS SEGURO
04 INTRODUCCIN
06 COMPRENDA LA NECESIDAD
08 10 PASOS HACIA UN NEGOCIO MS SEGURO
09 A. SUMRJASE EN EL CONCEPTO
09 PASO 1: Use la seguridad para potenciar la innovacin
10 PASO 2: Pruebe los lmites
11 PASO 3: Cntrese
12 PASO 4: Est preparado
13 B. PREVEA
13 PASO 5: Tenga una visin global
14 PASO 6: Haga ms de lo necesario
15 PASO 7: Hgalo oficial
19 CONCLUSIN
INTRODUCCIN 04 | TOMARSE EN SERIO EL ASUNTO DE LA SEGURIDAD TMESE EN SERIO EL ASUNTO DE LA SEGURIDAD | 05
TMESE EN SERIO desconectar las alarmas del coche, nos hemos vuelto
insensibles a los titulares sobre ciberdelincuencia.
A pesar de que los cibercriminales robaron ms de
SEGURIDAD
a escala industrial, con kits de exploit y servicios
malware que ponen sofisticados mtodos de ataque
en manos de cibercriminales relativamente poco
cualificados. Y desgraciadamente, ignorar este
problema no har que desaparezca.
A SUMRJASE EN EL CONCEPTO
10 PASOS USE LA SEGURIDAD PARA
POTENCIAR LA INNOVACIN
HACIA UN
La seguridad no tiene por qu ser el enemigo de la innovacin.
NEGOCIO
1
Un enfoque slido de seguridad puede hacer mucho ms que
simplemente proteger la empresa frente a los ataques; tambin
puede estimular la migracin a tecnologas de base ms completas
que puedan impulsar su negocio. No debera subestimarse el
valor de encontrar un equilibrio entre la evaluacin del riesgo y los
B PREVEA
CONTINUACIN >
10 | 10 PASOS HACIA UN NEGOCIO MS SEGURO 10 PASOS HACIA UN NEGOCIO MS SEGURO | 11
2
Un error que cometen muchas empresas es asumir que una vez Con el volumen actual de amenazas, gestionar la seguridad de TI de
3
que se han implementado medidas de seguridad el trabajo ya est su organizacin puede ser como arreglar constantemente fugas de
hecho. En la actualidad esto no puede estar ms lejos de la realidad. agua en un barco. La clave es comprender la informacin o datos que
Las amenazas estn cambiando y los ciberdelincuentes aprenden resultan ms crticos para mantener su negocio a flote.
sobre la marcha, incrementando su nivel de sofisticacin. Vigilar el Revise dnde es ms vulnerable su organizacin en el caso de una
panorama de amenazas, adems de reforzar sus sistemas y polticas, violacin de la seguridad y convirtalo en su principal prioridad.
es una cuestin de importancia vital. Considere cuestiones como la prdida de informacin confidencial,
La evaluacin continua de la capacidad de recuperacin de su la prdida de reputacin corporativa, y el incumplimiento de las
empresa frente a las ciberamenazas ayuda a medir el progreso e normativas regulatorias. Luego cntrese en lo que puede hacer para
idoneidad de las actividades de seguridad. Pruebe su infraestructura minimizar el riesgo.
de forma peridica con auditoras de deteccin de intrusiones
sobre el terreno. Considere trabajar con terceros para identificar
vulnerabilidades. Asciese con otros colegas del sector y
mantngase al da de las nuevas amenazas.
CONTINUACIN >
12 | 10 PASOS HACIA UN NEGOCIO MS SEGURO 10 PASOS HACIA UN NEGOCIO MS SEGURO | 13
B PREVEA
EST PREPARADO TENGA UNA VISIN GLOBAL
4
Es un lema adoptado por los Boys Scouts (Siempre Listo) y debera Cuando piense en su estrategia de seguridad, es importante considerar
5
aplicrselo cualquiera que est a cargo de la securizacin de la las amenazas y vulnerabilidades. Pero tambin es vital ver los factores
integridad y operaciones de una empresa. No importa lo cuidadoso que contribuyen y la imagen general de hacia dnde quiere llevar a su
que uno sea, los incidentes de seguridad ocurrirn. En el entorno organizacin.
actual de amenazas y vulnerabilidades no debera preguntarse el Segn el informe de Servicios de Seguridad 2014 de IBM4, ms del
si, sino el cundo ser vctima de un incidente con riesgo para la 95% de los incidentes investigados indicaron el error humano como
seguridad. El cmo gestione ese incidente, ms que el incidente en factor contribuyente. Mientras algunos errores provenan de una
s mismo, puede representar un momento decisivo. No existe ni una mala configuracin de los sistemas y una gestin deficiente en la
sola compaa atacada en 2014 que esperara ser vctima antes de actualizacin de parches, el informe tambin revelaba la prdida
producirse el incidente. Las que contaban con un plan fueron las que de porttiles o dispositivos mviles, la divulgacin de informacin
se recuperaron ms rpido y con un impacto menos negativo. regulada (confidencial) a travs de direcciones de correo electrnico
Haga que su negocio cuente con un plan de recuperacin ante incorrectas, o la apertura de adjuntos/URLs infectados como los cinco
desastres (disaster recovery). Cuanto ms grande y ms compleja sea incidentes de infeccin principales.
la organizacin, ms tipos de incidentes habr que tener en cuenta. En definitiva, la seguridad es un problema de todo el mundo dentro
Consulte con un tercer experto para comprender mejor y anticipar los de la organizacin. Los negocios ms preparados saben que la
posibles escenarios de amenazas. Identificarlos de forma anticipada poltica de seguridad tiene que derivarse o surgir de objetivos
reducir significativamente los tiempos de respuesta en caso de una estratgicos, objetivos de negocio y polticas corporativas; y asignarse
vulneracin real de la seguridad. a procedimientos y requerimientos, medidas de rendimiento, y por
Hgase cargo de su capacidad de respuesta y recuerde que la supuesto, gente de todos los niveles dentro de la organizacin.
comunicacin es la clave. Aquellos que hacen caso omiso de la Si quiere un bosque saludable debe cuidar el ecosistema que lo rodea.
importancia de esta regla acaban encontrndose desbordados por
Formar a la gente sobre cmo puede minimizarse el riesgo y cmo
ayudas o atenciones no deseadas cuando la seguridad empieza a
una seguridad slida puede hacer avanzar el negocio en vez de
patinar.
entorpecerlo.
Piense en un buen plan de comunicaciones en caso de un incidente
de seguridad, con mensajes discretos e importantes para el personal
interno, externo y las autoridades segn sea necesario.
4 Informe IBM Security Services 2014 Cyber Security Intelligence Index CONTINUACIN >
14 | 10 PASOS HACIA UN NEGOCIO MS SEGURO 10 PASOS HACIA UN NEGOCIO MS SEGURO | 15
HAGA MS DE LO #1
HGALO OFICIAL
NECESARIO
6
El cumplimiento de seguridad est, entre otras cosas, dentro de Hacer oficiales las polticas corporativas de seguridad de la informacin y
7
la larga lista de leyes y normativas a las que deben atenerse las compartirlas en toda la compaa, puede proporcionar muchos beneficios
empresas. Desgraciadamente, muchos creen que cumpliendo interesantes:
los requisitos que regulan la privacidad, finanzas y proteccin del Crea un estndar a lo largo de toda la empresa como referencia para
consumidor, ya estn cubiertos. Pero este tipo de pensamiento puede todos los empleados, que se convierten en integrantes de la cultura de
sesgar el alcance y efectividad de una buena estrategia de seguridad. El seguridad.
cumplimiento de estos requisitos habitualmente se centra en amenazas
Ms gente se involucra y compromete en proteger los activos de
especficas, que lo hacen menos completo de lo que una estrategia
informacin vitales; y
de seguridad podra o debera ser. Dado que estas normativas no
garantizan una red segura, no debera constituir los fundamentos de su Su exposicin al riesgo se hace ms manejable.
poltica. Teniendo esto en mente queda claro que hay que hacer ms de Cuando cuenta con una gran poblacin que le ayuda a implementar la
lo necesario. Cree una poltica sida de seguridad que salvaguarde la poltica de seguridad, su aplicacin y cumplimiento se hace ms eficiente.
informacin y apoye procedimientos de respuesta y mitigacin. Luego Por ejemplo, de media existe un oficial de polica por cada 600 residentes
construya el cumplimiento en base a ella. en las ciudades con poblaciones por encima de los 50.000 habitantes.
Cuando el pblico general se compromete a cumplir con la ley, los
ciudadanos obedecen las reglas.
Esto funciona de igual forma en los negocios. Involucre a sus empleados
en mejorar su estrategia de seguridad de la informacin educndoles en
la forma en la que pueden ayudar. Cree polticas de seguridad que los
empleados puedan comprender y ayuden a fortalecer.
CONTINUACIN >
C
CUIDE LOS DETALLES 16 | 10 PASOS HACIA UN NEGOCIO MS SEGURO 10 PASOS HACIA UN NEGOCIO MS SEGURO | 17
8
Los objetivos globales producen el mayor impacto cuando vienen de Gestionar la seguridad de la informacin de una forma efectiva y
9
ms arriba. Y la proteccin de la informacin de su organizacin debe eficiente requiere herramientas, formacin y mtodos de medida. Y
ser un objetivo global. Para muchos directivos, la seguridad de la dado que los empleados algunas veces ven la aplicacin como algo
informacin no est en lo ms alto de la lista de prioridades; hay que negativo, tambin requiere una buena comunicacin interna. Es
ponerla ah arriba. vital asegurar que los mtodos, tcnicas de medida e iniciativas de
Las brechas producidas durante los pasados cinco aos en seguridad se comparten y explican. Permita que sus equipos conozcan
prcticamente todos los sectores proporcionan mucha informacin las ltimas amenazas y la inversin que est haciendo la compaa
sobre los potenciales riesgos de no hacer de la seguridad una prioridad para proporcionar una proteccin general.
fundamental. Encuentre ejemplos de empresas similares a la suya y Forme al personal para ayudarles a entender que tienen
comunique los riesgos potenciales a la directiva. Si todava no se han responsabilidades y cul es su papel a la hora de ayudar a protegerse
sumado a esta iniciativa, proporcionar estos datos debera ayudarles de las amenazas. Un tema importante en el que hay que detenerse
a decidirse. Asegurar los recursos necesarios, en trminos de es en el de la ingeniera social, dado su predominio en el panorama
presupuesto y personas, es muy importante para la proteccin de la actual.
compaa. La firma ejecutiva de una poltica de seguridad demuestra Con independencia del tamao de su empresa, haga que sus
un apoyo activo. empleados completen un cuestionario sobre su poltica de seguridad
Ayude a todo el mundo, desde arriba hasta abajo, a comprender la para reforzar su importancia.
importancia de mitigar los riesgos informticos para proteger la Para las grandes compaas, tmese el tiempo y piense en identificar
propiedad intelectual. Esto solo salvaguarda el corazn de la compaa a personas especficas que sean los administradores de su poltica
y ayuda a mantener la ventaja competitiva. de seguridad de la informacin. Deberan asignarse diferentes
Dado que todos conocemos que las cifras y los datos importan ms que responsabilidades para cada persona, junto con una clara comprensin
las palabras, establezca un sistema de medida que le permita informar de cmo se entrecruzan dichas responsabilidades. Documente y
de forma peridica sobre sus progresos en cuanto la seguridad de comparta la informacin con todo el mundo para que toda la gente
la informacin. Adems, asegure que comparte mtricas con la alta involucrada lo sepa.
direccin una vez al ao. No olvide ir ms all de sus paredes para compartir la informacin
Querr identificar los indicadores de seguridad claves y poner en con otros de su sector. Esto puede constituir una red de incalculable
una grfica la efectividad de las medidas de seguridad tomadas. Esto valor a la hora de identificar las mejores prcticas y advertir un ataque
ofrece una informacin muy valiosa para la optimizacin continua de inminente.
su poltica de seguridad, adems de para las inversiones futuras en
seguridad.
CONTINUACIN >
18 | 10 PASOS HACIA UN NEGOCIO MS SEGURO
CONCLUSIN
NO BAJE LA GUARDIA
CONVIERTA LA
SEGURIDAD
EN UN
10
En algunas empresas la gestin de la seguridad se externaliza debido
a la falta de personal o conocimientos. Con frecuencia, servicios
como el backup, restauracin, cifrado, y proteccin de datos pueden
resultar atractivos para las pequeas empresas. Pero la externalizacin
presenta sus propios riesgos.
Las empresas externas que no protegen de forma adecuada la
informacin o los sistemas de informacin pueden suponer una grave
HABILITADOR
responsabilidad para las operaciones del negocio, reputacin y valor de
la marca.
Aqu tiene algunas directrices que siempre debe tener en mente: Dado que los datos son la piedra angular de los negocios, los lderes de hoy
1. Requiera a sus proveedores de servicios o suministradores que
sigan sus polticas de seguridad de la informacin. no se pueden permitir ignorar la cuestin de la seguridad Sin unas polticas
2. Asegrese de que se respeten y definan acuerdos de nivel de
servicio (SLAs) que incluyan puntos especficos acerca de mtricas adecuadas, tanto los clientes como la compaa misma estn en riesgo.
de disponibilidad del sistema y restauracin. Haga auditoras
peridicas para asegurar que su proveedor de servicios cumple el Comprendiendo las amenazas y vulnerabilidades potenciales, creando un
SLA. Compruebe sus registros de actividad para analizar y evaluar
las amenazas. plan robusto que se alinee con su negocio, y asegurando que las protecciones
3. Tenga en mente que cuando se trata de servicios cloud, existen
polticas de seguridad de la informacin especiales. Si trabaja con se integran en su infraestructura de TI, puede convertir la seguridad en un
un proveedor de servicios para almacenar, procesar o administrar
datos en una red, familiarcese con sus polticas y consulte que habilitador, ms que en un deshabilitador.
cubren.
Bien sean proveedores de servicios de TI, proveedores cloud o una
De un paso proactivo para garantizar que su organizacin est segura. Realice
empresa externa subcontratada, si tienen acceso a, o gestionan
cualquier informacin crtica para las operaciones de su empresa,
asegrese de que usted comprende sus polticas de seguridad y sus
un SECURITY CHECKUP de CHECK POINT, una evaluacin gratuita que puede
garantas.
descubrir riesgos potenciales en su red:
http://www.checkpoint.com/campaigns/securitycheckup/index.html
WE SECURE THE FUTURE
CONTACTE Oficinas centrales | 5 HaSolelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: info@checkpoint.com
CON Oficinas centrales en EE.UU. | 959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233 | www.checkpoint.com
NOSOTROS Oficinas centrales en Espaa | C/ Va de las Dos Castillas, 33. Edificio tica 6, Pta.3. Oficina D-1 | 28223 Pozuelo de Alarcn - Espaa | Tel: +34 91 799 27 14
2015 Check Point Software Technologies Ltd. Todos los derechos reservados.
2015 de enero