SeguridadTips

Como conducir un Análisis de Brechas de Seguridad (GAP Analysis)

Jose Troconis

Como asesor de seguridad de la información, uno de los trabajos más importantes a realizar son los análisis de brechas de seguridad de la información (GAP Analysis) . Este análisis proporciona una comparación de su programa de seguridad frente a las mejores prácticas de seguridad en general. Al comparar estas mejores prácticas con las prácticas reales, podemos arrojar luz sobre las áreas donde las vulnerabilidades y los riesgos están latentes.

Aquí hay 4 pasos que son críticos para cada análisis de brechas de seguridad de la información.

Paso 1: Seleccione un marco de seguridad estándar.

Uno de los marcos más comunes es el estándar ISO / EIC – 27002. ISO / IEC 27002: 2013 proporciona recomendaciones de mejores prácticas en la gestión de la seguridad de la información. Esta norma cubre las mejores prácticas para áreas de seguridad clave como la evaluación de riesgos, el control de acceso, la gestión de cambios, la seguridad física y otros.

El estándar ISO proporciona un buen punto de referencia con el que puede comparar sus políticas de seguridad y controles de red. Si tiene un buen equipo de seguridad, puede realizar el análisis de brechas usted mismo, sin embargo, incluso si tiene un buen equipo de seguridad en ocasiones es mejor contratar a una persona independiente, alguien sin conexión a la arquitectura de la red, para evaluar su plan de seguridad corporativa. De hecho, algunos estándares de cumplimiento (es decir, HIPAA o PCI) pueden requerir que un consultor externo proporcione una evaluación exhaustiva para garantizar que las medidas de seguridad corporativas cumplan con las regulaciones estatales y federales. La razón es simple: un consultor externo a menudo puede detectar las brechas que no encuentran las personas que trabajan con la red día a día.

Paso 2: Evaluar personas y procesos.

Es necesario recopilar datos sobre su entorno de TI, inventario de aplicaciones, organigramas, políticas y procesos, entre otros. El objetivo principal es entender y analizar los objetivos clave de la organización así como también su dirección estratégica. Definitivamente significa aprender qué políticas de seguridad ya existen y en que dirección los líderes de su organización estarán llevando a su empresa durante los próximos tres a cinco años, esto implica identificar los riesgos de seguridad que estarán asociados con ella.

Es importante también entender a profundidad las funciones y procesos de los departamentos de transversales corporativo como recursos humanos y legales. Por lo general, esto incluye al personal de TI, a los administradores de seguridad (si tiene un equipo de seguridad dedicado internamente) y a cualquier persona que trabaje con la red, los servidores o las estaciones de trabajo. Las buenas prácticas de seguridad involucran a todos en la empresa.

Muchos de los riesgos que enfrentan las redes de la empresa son causados ​​por la intervención humana: un empleado que hace clic inocentemente en un enlace en un correo electrónico de suplantación de identidad, capacitación insuficiente, ausencia de planes de concienciación en seguridad de la información, o simplemente un empleado enojado que deliberadamente puede sabotea la red. Necesitamos abordar el comportamiento humano si queremos hacer todo lo posible para disminuir las amenazas a los datos.

Los miembros clave del personal pueden proporcionar detalles sobre cómo se implementan los diversos controles.

Por ejemplo:

  • ¿Cómo se maneja el acceso para nuevas contrataciones y despidos?
  • ¿Existe una política estándar basada en roles que ayude a garantizar que se proporcione el acceso correcto a cada puesto de trabajo?
  • ¿Cómo se implementan los cambios en el entorno productivo?
  • ¿Existen procedimientos y aprobaciones estándar que se requieren antes de realizar un cambio?
  • ¿Hay un procedimiento de «vuelta atrás» en caso de que haya un problema?
    ¿Se proporciona capacitación al personal para mantener a su empresa al tanto de los riesgos de seguridad en evolución?

Cuanto más sepamos sobre las personas que acceden a su red y los controles que ya existen, más fácil será crear el análisis de seguridad correcto.

Paso 3: Recopilación de datos / Tecnología

A través de la recopilación de datos, el objetivo es comprender qué tan bien funciona el programa de seguridad actual dentro de la arquitectura técnica. Como parte de este paso, es necesario comparar los controles de mejores prácticas (es decir, ISO 27002 o NIST 800-53) o los requisitos relevantes con los controles de la organización; es importante tomar, por ejemplo una muestra de dispositivos de red, servidores y aplicaciones para validar brechas y debilidades; revisar los controles de seguridad automatizados; y revisar los procesos de respuesta a incidentes, protocolos de comunicaciones y archivos de registro. Con una recopilación de datos y análisis, se obtiene una imagen clara del entorno técnico, las protecciones implementadas y eficacia de seguridad general.

A medida que se avanza en el proceso de recopilación de datos y en el análisis de brechas de seguridad, es necesario comparar el plan de seguridad corporativo con las mejores prácticas. Estos estándares se han desarrollaron después de años de observaciones y evaluaciones para comprender qué controles son los más efectivos y donde típicamente surgen fallas en la seguridad. Este profundo conocimiento de seguridad nos permite ver cómo el proceso de seguridad se compara con otros procesos y controles que han demostrado ser exitosos, especialmente cuando se comparan con otras compañías y controles de seguridad dentro de la industria específica de tu empresa.

Paso 4: Análisis

Una vez que hayamos terminado las fases anteriores, se debe realizar un análisis en profundidad de su programa de seguridad. Para hacer esto, correlacionamos los hallazgos y los resultados en todos los factores para crear una imagen clara y concisa de su perfil de seguridad de TI que incluye áreas de fortaleza y áreas donde es más necesario mejorar. Con esa información en la mano, podemos hacer recomendaciones para crear y avanzar con un plan de seguridad adecuado para tu empresa. Esa hoja de ruta de seguridad debe considera los requisitos de riesgos, personal y presupuesto, así como los plazos para completar las diversas mejoras de seguridad.

Como probablemente ya haya concluido, realizar un análisis completo de las brechas de seguridad de la información es un proceso detallado y en profundidad que requiere no solo un conocimiento profundo de las mejores prácticas de seguridad, sino también un amplio conocimiento de los riesgos de seguridad, los controles y los problemas operativos. Podemos descubrir riesgos que pueden remediarse rápidamente con la instalación de un parche de seguridad, o podemos recomendar que un protocolo de comunicaciones obsoleto se reemplace con una solución más robusta.

Realizar un análisis de brechas de seguridad no puede garantizar un 100% de seguridad, pero es un largo camino para garantizar que su red, personal y controles de seguridad sean robustos, efectivos y rentables. Cuando se realiza un análisis exhaustivo de la brecha de seguridad de la información, puede informar a sus clientes que está brindando la mejor seguridad posible. A su vez, mientras mejor pueda asegurar la información que le confían, mejor prosperará su negocio.

Fuente

 

 

También te puede gustar

Como Configurar Registros MX en CDMON para redireccion de correo electronico (email) bajo tu dominio con Google Apps

Jose Troconis

Corrigiendo la hora en Elastix 2.5

Jose Troconis

Fondos Canaima 3.0 Mangas!

Jose Troconis
Translate »