Seguritecnia 358

46 SEGURITECNIA Noviembre 2009 Opinión ▪ Establecer el alcance global y los ob- jetivos. ▪ Reunir los requisitos de alto nivel como a qué sistemas necesita dar so- porte, etc. ▪ Determinar el estado actual de su se- guridad y de lo que pretende conse- guir. ▪ Desarrollar el caso de negocio para obtener la aceptación ejecutiva de ese plan y estimar sus costes. ▪ Desarrollar el “ blueprint ” para la cons- trucción de su solución de seguridad. ▪ Seleccionar el software apropiado para conseguir los objetivos. ▪ Desarrollar la hoja de ruta para imple- mentar la solución. Considerar a las personas y procesos Las soluciones de seguridad dependen de la integración de la tecnología, los procesos y las personas. Ya se encuen- tre ideando la aproximación a la ges- tión de las identidades o diseñando la metodología de gestión de actualiza- ciones de su organización, se deben considerar cada uno de estos aspec- tos como fundamentales para su es- trategia de seguridad. La tecnología es sólo una parte de la solución. Disponer de un proceso eficaz, a la vez que se alinea la solución con los empleados, ayuda a facilitar la transición para cual- quier organización. el control de los dispositivos para pre- venir que datos confidenciales salgan de los sistemas corporativos en disposi- tivos removibles, incluyendo los USB. Sin embargo, todas estas medidas pueden quedar rápidamente reducidas a la nada cuando introducimos en la ecuación a las personas. Nuestro com- portamiento social, la falta de criterio, etc., pueden quebrantar con extrema facilidad cualquier iniciativa tecnoló- gica que llevemos a cabo. Y es por ello que toda la organización, sin excepción, debe estar implicada, educando donde sea necesario, trabajando en políticas de uso que ayuden al gobierno y ase- gurando que el desarrollo de las aplica- ciones integre mecanismos de protec- ción de datos. Aunque no hay respuestas fáciles cuando se habla de la protección de los datos y activos de las empresas, desde Avanade consideramos una serie de as- pectos fundamentales que permiten disponer de una empresa segura, me- diante un análisis detallado y reflexivo de varios factores dentro de un entorno empresarial único. Elaborar un plan estratégico Las empresas necesitan una estrategia de seguridad coherente y un proceso fiable para mantenerlas actualizadas con las últimas tecnologías frente a las amenazas existentes y venideras. Como responsable de una empresa, es nece- sario abordar la seguridad desde una perspectiva integral y estratégica para garantizar la fiabilidad, el cumplimiento de las normativas, la integridad y la dis- ponibilidad. Este plan debe incluir los costes estimados, además de fijar los objetivos y realizar el “ blueprint ” de la solución. Adicionalmente, es un factor crítico desarrollar un plan predetermi- nado que actúe como hoja de ruta para alcanzar el resultado final esperado y así garantizar el éxito de cualquier imple- mentación. En las siguientes líneas encontramos algunos de los pasos a considerar con el objetivo de crear el plan correcto para la organización: Elegir el socio adecuado Con tantos proveedores y consultores disponibles, es importante encontrar un socio que comparta la visión estraté- gica de la organización. Después de de- terminar una estrategia, se debería ele- gir como socios a aquellos que aporten experiencia y que dispongan de una sólida reputación. El socio adecuado ayudará a diseñar e implementar un sis- tema que maximice los sistemas exis- tentes para gestionar el acceso a través de los sistemas y redes de manera se- gura y eficiente en costes. Implementar con un objetivo en mente No implementar soluciones arbitraria- mente y esperar que funcionen sin pro- blemas. Es esencial establecer las guías de arquitectura con el fin de eliminar –o, cuanto menos, reducir- la compleji- dad antes de que empiece. Un error que muchas organizacio- nes cometen en el área de seguridad de la información es dar por sentado que cuanta más tecnología se ponga en funcionamiento más seguras podrán mantener sus empresas. En lugar de im- pulsar la necesidad de una mayor segu- ridad, las compañías deberían centrarse en luchar por una “seguridad efectiva” –aquélla donde se evalúa su situación actual y luego se diseña y construye un planteamiento de seguridad que se