TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

CÓMO CREAR UN PRESUPUESTO PARA CIBERSEGURIDAD

Escrito por Miguel Torres on 3/10/16 15:30

Prespuesto-Ciberseguridad.jpgLa creación de una estrategia de ciberseguridad moderna es una necesidad mas que algo deseable ya que nadie esta exento de un ataque. Antes que nada TI debe contar con el apoyo de su Dirección Ejecutiva y/o Consejo de Administración y ser administrada de manera centralizada, seguido establecer un presupuesto general de Tecnologías de Información, como mínimo, el 10 % de ese dinero debe destinarse a los siguientes fundamentos de seguridad cibernética.

  •  1% - EDUCACION DE LOS EMPLEADOS

En una organización moderna el entrenamiento para soportar la estrategia de ciberseguridad debe ser independiente al presupuesto de capacitación general. De otra forma este tipo de educacion hacia los empleados puede diluirse entre otras prioridades,  de los empleados  equipo de TI debe ser independiente al entrenamiento. Todos en la organización deben poseer una formación en conceptos básicos de ciberseguridad, se pueden utilizar alertas simples y efectivas cómo:

  1. Antes de abrir una "supuesta" factura o archivo adjunto en un correo electrónico al parecer "válido" revise el remitente, si desconfía contacte al área de TI.
  2. Si no ha cambiado su contraseña, ¿por qué creer a un correo electrónico que usted lo hizo?

Para aprovechar al máximo de su inversión en consciencia de seguridad debe dedicarle tiempo al desarrollo de un plan de contenidos, establecer un objetivo y tiempos específicos de ejecución. Se pueden utilizar empresas terceras que nos ayuden a entregar el mensaje pero usted debe conocerlo, debe ser claro, conciso y abarcar contextos relevantes al giro de la empresa.

  • 2% - POLÍTICAS DE SEGURIDAD

Una política formal de seguridad es una necesidad y debe ser estrechamente unida con la educación de los empleados. La política no tiene por qué ser excesivamente rígida, pero debe proporcionar orientación sobre el uso aceptable de Internet y los recursos relacionados. Cerrando el acceso a las redes sociales, navegación web, etc., no generará una empresa más segura y los usuarios encontrarán la manera de saltar las reestricciones.

El lenguaje utilizado en las políticas debe establecer una relación clara entre el buen uso y las consecuencias. No debe ser percibida como una forma de despedir empleados, sino más bien como una extensión de las normativas establecidas por el área de recursos humanos. Se debe alentar a las personas que generan las políticas de seguridad a ser creativos y participar en conjunto con su cómite de auditoría (si existe) en la creación de las mismas. Es esencial que el comité de auditoría entienda el comportamiento que las políticas intentan fomentar y la mejor manera de medir su efectividad. Algo muy importante; las brechas de seguridad no son una medida aceptable de la eficacia de la política.

  • 4% - SOLUCIONES TECNOLÓGICAS DE SEGURIDAD DE LA INFORMACIÓN

En este rubro se agrupan las soluciones perimetrales, endpoint, nube o residentes dentro de la infraestructura. Ya sea firewall perimetral, de aplicaciones web, DLP, IPS, sandbox, seguridad para bases de datos, protección de endpoint etc. su objetivo principal es proteger lo más valioso que poseemos: nuestra información, no necesitamos reemplazar la totalidad de nuestra infraestructura de seguridad actual, debemos aprovechar al máximo las características que poseen, estar bien configuradas y con un mantenimiento constante, lo fundamental es conocer la manera en la que contribuyen a la alta disponiblidad y crecimiento del negocio con el fin de hacer inversiones estratégicas que incrementen estos rubros, incluso puedes utilizar empresas terceras que te ayuden a evaluar tu actual estrategia de ciberseguridad.

SI DESEAS EVALUAR GRATUITAMENTE TU ESTRATEGIA DE CIBERSEGURIDAD CON UN EXPERTO  PUEDES GENERAR UNA CITA AQUÍ

  • 2% - RECONOCIMIENTO DE LA RED

El reconocimiento de la red debe ser un componente crítico en tu estrategia de ciberseguridad. Es importante trabajar estrechamente con el equipo que provee la infraestructura de redes para en conjunto reconocer el comportamiento de la misma. Este proceso de descubrimiento mucho mayor tiempo del esperado pero vale la pena el esfuerzo. Una vez que comiences poco a poco encontrarás los "esqueletos" de tu red. Una propuesta podría ser crear un programa de recompensas para descubrir malas gestiones de la red como incentivo para que los equipos de TI tomen más en serio la seguridad.

A medida que avances descubriras una serie de dispositivos sin parches y vulnerables. De no ser así es una buena práctica preguntarse el porque ninguno aparece de esta forma. Se pueden descubir túneles VPN no autorizados, DNS "rotos" etc. Una vez detectados se debe crear un plan para solucionarlos así como programar regularmente ventanas de mantemiento para parcheo  y mantenimiento. El beneficio de esta práctica es mucho mayor que cualquier gasto en seguridad adicional.

  • 1% - ENTRENAMIENTO ESPECIALIZADO AL EQUIPO DE SEGURIDAD

Tu equipo de seguridad seguramente posee miembros talentosos, como tu primera primera linea ofensiva y defensiva estos individuos deben contar con un plan personalizado de entrenamiento. Los planes debes estan establecidos y re-evaluados por lo menos una vez al año. Existen excelentes empresas  que ofrecen entrenamiento especializado en seguridad a todos niveles. Encontrar talento en seguridad cada vez es más difícil por lo que plan de educación contínua es una excelente inversión.

  • SIGUIENTES PASOS EN TU ESTRATEGIA DE CIBERSEGURIDAD

Destinar el 10% del presupuesto de TI para tu estrategia de ciberseguridad es solo el comienzo para convertirse en organización moderna en el rubro. Una vez que apliques estos fundamentos de manera solida se deben medir y reforzar con tecnología complementaria, programas y actividades.

Si tienes algún comentario o requerimiento adicional puedes contactarme en mi dirección de correo electrónico: mtorres@smartekh.com  

 

*Sheldon Shaw/ SAS - 2016

Topics: Seguridad, mejores practicas, presupuestos, Ciberseguridad, proteccion, politicas


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
Agenda-aqui-tu-asesoria-con-un-consultor-experto.jpg
Tienes-problemas-de-soporte-levanta-tu-caso-aqui.jpg
15-3
EBOOK-Guia-de-senales-de-prevencion-para-evitar-ataques-por-ransomware-con-tu-solucion-de-ciberseguridad.jpg

¿Quieres hablar con un Consultor de Ciberseguridad?