Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo proteger la información de misión crítica

[26/10/2016] Hoy en día, dado el amplio y creciente volumen de datos dentro de las organizaciones, asegurar la información puede parecer una tarea insuperable. Pero puede conseguirlo si evalúa el valor de sus datos y se enfoca en la protección de sus activos de información de misión crítica -las joyas de la corona.

La organización no lucrativa Foro de Seguridad de la Información (ISF, por sus siglas en inglés) anunció la disponibilidad del último de una serie de informes, llamado Protecting the Crown Jewels: How to Secure Mission-Critical Information Assets (Protegiendo las joyas de la corona: Cómo asegurar los activos de información de misión crítica), dirigido a ayudar a las organizaciones a realizar justamente eso.

"Las empresas deben dar prioridad a la protección de los activos de información de misión crítica", señala Steve Durbin, director general de la ISF. "Con demasiada frecuencia, las organizaciones consideran el valor de estos activos, pero no pueden reconocer el grado en que están expuestos a las amenazas globales de seguridad".

Las prácticas de seguridad estándar no lo lograrán

Los enfoques convencionales para la implementación de controles de seguridad rara vez proporcionan una protección adecuada o suficiente para los activos de información de misión crítica, anota Durbin, pues tienden a seguir un enfoque predeterminado. Al entender el valor de todos sus activos de información y qué actores pueden beneficiarse, añade, puede darles prioridad y proporcionar una protección eficaz personalizada para cada activo.

El nuevo informe del ISF utiliza el Proceso de protección del ISF, un proceso estructurado y metódico para determinar los enfoques necesarios para ofrecer una protección completa y equilibrada.

Identificar los activos de información de misión crítica

Antes de poder proteger los activos de información de misión crítica de su organización, necesita saber lo que son.

"Teniendo en cuenta toda esta información, ¿qué es lo que en realidad importante para usted como empresa?", pregunta Durbin. "¿Qué es misión crítica? ¿Cómo se identifica? ¿Cómo se protege?"

Es importante tener en cuenta, añade, que algunos activos de información de misión crítica son claros y serán siempre de misión crítica. Para una compañía como Heinz, podría ser su receta de ketchup. Para Apple, el plano del iPhone sería un activo de información de misión crítica. Sin embargo, otros activos de información crítica pueden ser importantes solo por un tiempo. El plan de marketing para un nuevo iPhone puede ser de misión crítica previa al lanzamiento, pero la importancia de asegurar esa información se desvanece después de lanzarlo -deja de ser fundamental.

"Otro ejemplo es el de M&A", anota Durbin. "En las primeras etapas, cuando las juntas hablan acerca de una adquisición, probablemente no sea misión crítica. Pero a medida que se acercan a la oferta, hay mucha más información de posible interés para más personas. Probablemente, los miembros de la junta van a estar guardando papeles y archivos importantes en sus laptops. ¿Cómo hacer que la información sea protegida y restringida de una manera aceptable para la organización, y también para el usuario final? En este caso, no se trata de todo el mundo. Es acerca de usted como miembro de la junta."

En este paso del Proceso de protección de la ISF, usted debe hacer lo siguiente:

  • Definir lo que constituye un activo de misión crítica.
  • Identificar los potenciales activos de misión crítica en función de su valor para la organización y el impacto potencial para el negocio si es comprometido.
  • Mantener un registro de los activos de información de misión crítica aprobados.

Evaluar las principales amenazas

Una vez que haya identificado las joyas de la corona, el siguiente paso es evaluar las amenazas a esos activos.

"¿Quién querría obtener acceso al marketing de Apple? ¿Hackers? ¿Competidores? ¿Periodistas? Probablemente no sea un estado nacional", afirma Durbin.

Determinar qué actores podrían dirigirse a sus activos de información de misión crítica le ayudará a encontrar la mejor manera de protegerlos. La defensa contra un competidor que trata de robar los secretos comerciales requiere un enfoque diferente a la defensa contra un grupo extremista que busca llevar a cabo un ataque cibernético severo.

En este paso del Proceso de protección de la ISF, debe esforzarse por lograr lo siguiente:

  • Examinar las principales amenazas a los activos de información de misión crítica.
  • Identificar los eventos de amenaza que probablemente serán dirigidos hacia los activos de información de misión crítica.
  • Evaluar el nivel de exposición de cada activo de información de misión crítica.

Determinar los enfoques de protección requeridos

Una vez que entiende cuáles son las joyas de su corona y quién podrían tratar de acceder a éstas, puede determinar qué tipo de enfoque de protección requiere cada activo. El programa de seguridad debe estar directamente relacionado con el activo, al igual que las personas que se encargan de esa información en cada etapa, anota Durbin.

En este paso del Proceso de protección de ISF, debe hacer lo siguiente:

  • Comprender los posibles enfoques para proteger los activos de información de misión crítica.
  • Definir los objetivos de proteger los activos de información de misión crítica.
  • Seleccionar los enfoques necesarios para proteger los activos de información de misión crítica.
  • Identificar los controles de seguridad y soluciones necesarias para respaldar los enfoques de protección elegidos.

Contrarrestar las principales amenazas

Después de determinar los enfoques de protección requeridos para sus activos, viene el momento de crear una defensa activa.

"Descubra cómo se pueden contrarrestar algunas de esas amenazas, cómo podría replantear la arquitectura y el marco de seguridad", señala Durbin. "La clave es a través de esta identificación. En mi opinión, es ahí donde una gran cantidad de organizaciones empiezan a tener problemas".

En este paso del proceso de protección del ISF, se entregan las capas adicionales de controles de seguridad preventivos y de detección a través de las cinco etapas de la cadena de ataque cibernético:

  • Realizar el reconocimiento
  • Obtener acceso
  • Mantener el control
  • Comprometer información
  • Explotar la información

Durbin observa que la protección basada en la amenaza proporciona un sistema de alerta temprana para informarle de eventos de amenazas emergentes o inminentes, lo que permite un conjunto equilibrado de controles end-to-end para contrarrestarlas.

Proteger el ciclo de vida de la información

La información tiene un ciclo de vida propio. Como fue explicado en el ejemplo del M&A de Durbin, la criticidad de un activo de información puede variar a lo largo de ese ciclo de vida. Es esencial comprender los ciclos de vida de los activos de información, y proporcionar la protección y los controles pertinentes en cada etapa.

En este paso del proceso de protección del ISF, se aplican controles fundamentales, mejorados y especializados durante todo el ciclo de vida de la información. Durbin señala que proteger los activos de información de misión crítica durante todo su ciclo de vida reduce las posibles brechas y sostiene la protección integral y completa.

El informe está disponible sin costo para las organizaciones miembros del ISF y por un costo para aquellos que no lo son. Incluye un reporte dirigido a los CISOs y líderes empresariales que introduce los activos de información de misión crítica y señala las amenazas clave contradictorias, y una guía de aplicación y otros materiales de apoyo específicamente para los especialistas en riesgos de la información y profesionales en seguridad de la información, que proveen pasos prácticos para aplicar e integrar el proceso de protección de ISF.