Experiencia y conocimiento para resolver eficientemente sus necesidades de Gestión de Riesgos y Seguridad de la Información.
En el entorno de negocios actual, la información que se maneja tanto al interior de una organización como hacia el exterior de la misma está expuesta a un gran número de riesgos, los cuales tienen un impacto variable en los atributos de seguridad de la información: confidencialidad, integridad y disponibilidad. En la actualidad, el principal reto está en entender los riesgos específicos para cada entorno de negocios en particular y también entender, o incluso medir, el impacto que estos riesgos tienen sobre la seguridad de la información.
Tradicionalmente, cuando se habla de Seguridad de la Información, se entiende que se requieren ciertas soluciones de hardware y software con los que la mayoría de las empresas ya cuentan y consideran que cubren todas sus necesidades actuales y futuras de seguridad de la información. Estos elementos son firewalls, antivirus, antispam, filtros de contenido URL, etc. Sin embargo, una estrategia global de seguridad de la información debe considerar otros elementos que permiten mejorar la postura global de seguridad de la empresa y no se limitan a atender amenazas puntuales como son el acceso desde el exterior de la red corporativa o la existencia de virus, las cuales definitivamente si tienen su relevancia, pero son un elemento más dentro de un esquema general de requerimientos de seguridad.
Una Estrategia Global de Seguridad de la Información, además de los elementos tradicionales para asegurar el perímetro de la red de la organización, debe incluir aspectos relacionados con la Gestión de Identidades corporativas, Control de acceso a los sistemas de información con base en perfiles, Gestión de eventos de seguridad, entre otros.
La práctica de Seguridad de la Información tiene varios objetivos críticos:
Utilizar mejores prácticas para la identificación de necesidades y oportunidades para la mejora de los niveles de Seguridad de la Información.
Emitir puntos de vista imparciales sobre las necesidades de Seguridad de la Información para proponer las mejores estrategias y herramientas para solventarlas, con el mayor costo beneficio.
Proporcionar herramientas de Seguridad de la Información que encajen dentro de una estrategia global de seguridad para cada entorno específico, contrario a sugerir soluciones puntuales con una aportación marginal a la problemática de seguridad observada.
Beneficios para Nuestros Clientes
El beneficio principal obtenido por nuestros clientes al considerar el establecimiento de una Estrategia Global de Seguridad de la Información es la alineación de aspectos de seguridad con requerimientos específicos de negocio, con lo cual se obtiene un nivel alto en la postura de seguridad y se aumenta también la efectividad y eficiencia de los procesos de negocio involucrados en la estrategia.
Aunque los beneficios específicos dependerán de los riesgos específicos y necesidades de cada cliente, existen algunos aspectos que podemos mencionar como beneficios generales que pueden obtenerse al ejecutar una estrategia de seguridad de la información:
Mejora de la postura de seguridad de la información en aspectos identificados por el cliente como problemáticos, ya sea por experiencias pasadas o por dificultad para cumplir con compromisos establecidos, como en el caso de regulaciones legales o de industria.
Conocimiento puntual del impacto de los riesgos de seguridad en procesos de negocio, y facilidad para definir estrategias de remediación apropiadas para reducción del riesgo.
Evaluación de soluciones tecnológicas que permiten aumentar la efectividad y eficiencia de procesos de negocio, al automatizar aspectos que tienen un componente importante de interacción humana.
Capacidad para la definición de un plan global de seguridad, estableciendo de acuerdo a necesidades de negocio, las prioridades para la selección y ejecución de proyectos e iniciativas de seguridad de la información.
Las necesidades que tradicionalmente se consideran dentro de una estrategia global de seguridad pueden ser tan variados como:
Alineación de la estrategia de seguridad corporativa a un marco de referencia generalmente aceptado (mejores prácticas) o a regulaciones y legislaciones específicas de industria.
Necesidad de definir identidades globales conforme a roles organizacionales específicos para acceso a aplicaciones de negocio críticas de la organización, y seguimiento en todo el ciclo de vida de la identidad. (Gestión de identidades).
Control de acceso a aplicaciones basadas en entornos Web, con autenticación de usuarios y perfiles de acceso específicos. (Gestión de accesos).
Gestión automatizada de bitácoras provenientes tanto de elementos de seguridad de red, como de aplicaciones y sistemas de negocio, con correlación de eventos y generación de alertas de seguridad (Gestión de eventos de seguridad).
Integración del ambiente Web de la organización y autenticación de usuarios con proveedores de servicios externos (Gestión de servicios federados).
Autenticación de usuarios por medios externos (segundo factor de autenticación) a sistemas y aplicaciones críticas de negocio.
Identificación y seguimiento de información confidencial al interior de la empresa y hacia el exterior de la misma, con capacidades tanto de monitoreo como de prevención (Prevención de pérdida de la información, DLP).
Monitoreo de actividad de usuarios privilegiados y reportes de cumplimiento con legislaciones y regulaciones nacionales y de industria. (Gestión de Información de Seguridad).