Tema principal: ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 1

Abordar los problemas de seguridad de la red

Desde la perspectiva de un director de seguridad

Alyssa L. Reph

Universidad Wilkes

Introducción

Según Bruce Schneier, “si cree que la tecnología puede resolver sus problemas de seguridad,

entonces no comprende los problemas y no comprende la tecnología” (“Top 10”, sf). La

seguridad de la información depende de algo más que la tecnología; requiere personas

inteligentes detrás de los sistemas. En una empresa, el director de seguridad tiene la

responsabilidad de evaluar el riesgo, gestionar la tecnología, implementar políticas y educar al

personal (Whitman & Mattord, 2014, p. 35). Aunque hay una variedad de problemas de

seguridad, se abordarán cinco situaciones únicas desde la perspectiva del Director de Seguridad.
 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 2

Discusión

Acceder a archivos de la empresa

La Junta Directiva se retirará a Florida y necesitará acceder a sus archivos en el servidor de

archivos de la empresa, que es únicamente un servidor interno. La principal preocupación es

cómo se les puede dar acceso a sus archivos de forma segura y qué requerirá eso que haga la

empresa. Para obtener acceso a la red, el Director de Seguridad utilizará una red privada virtual.

Este tipo de red es “una red de datos privada que hace uso de la infraestructura pública de

telecomunicaciones, manteniendo la privacidad mediante el uso de un protocolo de túnel y

procedimientos de seguridad” (Whitman & Mattord, 2014, p. 347). En otras palabras, la red

privada virtual permitirá a la empresa ampliar de forma segura las conexiones de red a otras

ubicaciones.

Antes de que se ofrezca acceso a esa red a la Junta Directiva, el Director de Seguridad debe

confirmar que la empresa tiene una política para controlar el uso. Es esencial contar con una

política de seguridad específica para cada tema, que detalle el uso autorizado de la red privada

virtual y los recursos que la acompañan (Whitman & Mattord, 2014, p. 164). ¿Existe ya una

política específica en vigor? De ser así, ¿incluye el uso de recursos a través de redes privadas

virtuales? El formato de la política puede ser un documento electrónico enviado por correo

electrónico a la Junta, con un breve cuestionario para evaluar su comprensión de las directrices.

Se requerirá que el Patronato lea y firme que está de acuerdo con la política (Whitman &

Mattord, 2014, p. 112).

Comprar un servidor

El departamento de finanzas busca comprar un servidor para almacenar todos los materiales

presupuestarios. A la hora de decidir comprar un equipo tan importante, se deben considerar

 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 3

múltiples factores. ¿En qué software y servidores opera actualmente la empresa? ¿Son

efectivos? Si funcionan bien, el director de seguridad puede decidir comprar otro modelo

similar. Además, ¿hay espacio en el presupuesto para un nuevo servidor? El director de

seguridad deberá verificar el presupuesto y aprobar la compra del servidor. Una vez que se toma

la decisión sobre el tipo y tamaño del servidor, se debe tener en cuenta la protección de la

información.

¿Cómo protegerá la empresa la información que se aloja en el servidor? Dado que el servidor

protegerá la información financiera, la documentación es clave para mantener seguros los

archivos de la empresa. Se debe configurar un sistema de prevención y detección de intrusiones

(IDPS) para registrar datos y mantener seguro el servidor (Whitman & Mattord, 2014, p. 361).

El IDPS documentará toda la actividad en el servidor para que, en caso de un ataque, la empresa

tenga la documentación necesaria para localizar al intruso. Junto con el IDPS, será necesario

configurar firewalls. ¿Quién estará a cargo de la configuración del firewall? Habrá un empleado

designado como administrador de firewall autorizado. Configurarán el firewall para proteger el

servidor de ataques externos. La “configuración y funcionamiento de un firewall de red”

(Whitman & Mattord, 2014, p. 168) se puede encontrar en la política de seguridad específica de

los sistemas. Esa política guiará al administrador en el establecimiento del firewall de acuerdo

con las instrucciones de la empresa.

Despedir a un administrador de red

Cuando uno de los administradores clave de la red es despedido, se deben seguir

procedimientos para garantizar la seguridad de la información de la empresa. ¿Cómo puede la

empresa minimizar los riesgos para su seguridad? Los riesgos pueden reducirse si se siguen

procedimientos específicos “independientemente del nivel de confianza que la empresa tenía en

 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 4

el empleado” (Whitman & Mattord, 2014, p. 578). Se debe realizar una entrevista de salida ya

sea que la salida sea amistosa u hostil. ¿Quién realizará la entrevista de salida del empleado? Es

probable que el director de seguridad se encargue de la entrevista de salida porque ha trabajado

estrechamente con el administrador de la red y ha establecido una buena relación. La entrevista

consistirá en una reunión con el empleado para revisar “las obligaciones contractuales, como los

acuerdos de confidencialidad, y obtener retroalimentación sobre el desempeño del empleado”

(Whitman & Mattord, 2014, p. 577).

¿Qué procedimientos específicos garantizarán que el empleado ya no tenga acceso a la

información de la red? El director de seguridad debe desactivar el acceso del empleado a los

sistemas de red, proteger los discos duros y recopilar todos los medios extraíbles, dispositivos de

la empresa y tarjetas de acceso. Las cerraduras de los archivadores y las puertas deben

cambiarse junto con las contraseñas de nivel administrativo (Whitman & Mattord, 2014, p. 578).

Dado que este empleado tenía un amplio acceso autorizado a la red, el director de seguridad

debería realizar un control de seguridad para comprobar la vulnerabilidad de la red a ataques

externos (Verry, 2008).

Cuando se despide a un administrador de red, ¿a quién se le debe notificar el cambio? Se

debe informar a Recursos Humanos, ya que serán responsables de proporcionar documentos

importantes, como un contrato y un acuerdo de confidencialidad, al entrevistador de salida para

que los revise antes de la reunión. Además, recursos humanos son los encargados de publicar la

oportunidad laboral. Además, se informará a los empleados de la empresa porque se debe dejar

claro que cualquier comunicación con el empleado despedido debe informarse a la dirección

(Verry, 2008). Se debe informar a los socios comerciales y consultores que este empleado ya no

trabaja en la empresa. Se trata de una medida preventiva para que el empleado no aproveche
 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 5

estos contactos como medio para adquirir información de la empresa (Verry, 2008).

¿Cómo afectará este despido a la empresa y quién asumirá este puesto mientras tanto?

Debido a la importancia de la seguridad de la empresa, es vital que alguien cubra ese puesto. Lo

más probable es que el director de seguridad tenga esa responsabilidad porque ya obtiene el

acceso y el conocimiento adecuados de la red. Una vez que se contrata o asciende a alguien

nuevo, se le capacitará en las políticas y procedimientos de la empresa. Prevenir un ataque de

gusano

El CERT acaba de informar sobre un nuevo gusano de Internet. Según Whitman y Mattord

(2014), “el complejo comportamiento de los gusanos puede iniciarse con o sin que el usuario

descargue o ejecute el archivo” (p. 84). Un gusano es un tipo de software malicioso que puede

copiarse a sí mismo en servidores web y “propagarse a cientos de máquinas en cuestión de

minutos” (“Incident Handling”, sin fecha). ¿Cómo puede la empresa protegerse de esta posible

amenaza? La empresa puede optar por comenzar verificando el sistema de protección contra

intrusos y utilizar herramientas de escaneo para “evaluar la preparación del sistema” (Whitman

&

Mattord, 2014, pág. 360). ¿Cómo responden las medidas de seguridad actuales a las amenazas?

Los datos recopilados al escanear el sistema se pueden analizar para determinar áreas débiles y

encontrar formas de mejorar la protección.

¿Tiene la empresa una política de seguridad específica para gusanos? La empresa puede

tener una política que detalla las “configuraciones mínimas específicas de las computadoras para

defenderse contra gusanos y virus” (Whitman & Mattord, 2014, p. 165). ¿Las medidas

implementadas son efectivas o la empresa necesita actualizar su política? Según Whitman y

Mattord (2014), “las políticas solo pueden conservar su eficacia en un entorno cambiante si se
 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 6

revisan periódicamente para comprobar su vigencia y precisión y luego se modifican en

consecuencia” (p. 172). La política puede estar desactualizada o carecer de la seguridad

necesaria para proteger a la empresa del nuevo gusano. Se debe comprobar la revisión más

reciente de la política y comprobar su eficacia. Si la política no es lo suficientemente detallada

como para proteger a la empresa de nuevas amenazas, debe revisarse y actualizarse de

inmediato.

¿Cómo se notificará al personal sobre los cambios en la política y la amenaza de un nuevo

gusano? Se debe enviar un boletín para concienciar al personal sobre la posible amenaza,

brindarles las medidas preventivas a tomar y notificarles sobre cualquier cambio realizado en la

política. Una vez revisada la política, se enviará electrónicamente al personal junto con un

cuestionario rápido para garantizar que la hayan leído y comprendido. Los riesgos se pueden

minimizar cuando la empresa revisa el sistema periódicamente, actualiza las políticas y

mantiene al personal informado sobre posibles infracciones.

Vender productos en línea

La empresa comenzará a vender widgets en línea y a aceptar tarjetas de crédito. Como ocurre

con cualquier nuevo negocio, existen riesgos que deben abordarse antes de seguir adelante.

¿Cómo protegerá la empresa la privacidad de los consumidores? La privacidad se define como

“el derecho de los individuos o grupos a protegerse a sí mismos y a su información del acceso

no autorizado, proporcionando confidencialidad” (Whitman & Mattord, 2014, p. 115). Una

medida para proteger la privacidad de los consumidores es garantizar que la información

obtenida en línea a través de compras se utilice únicamente para proporcionar bienes y no para

marketing (Whitman & Mattord, 2014, p.115).

¿Cómo puede la empresa mantener segura la información de los consumidores? El sitio

 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 7

web debe configurarse para proporcionar transacciones electrónicas seguras mediante el

cifrado de la información de la tarjeta de crédito (Whitman & Mattord, 2014, p. 454).

Además, el administrador del firewall debe establecer un firewall para proteger la

información de las tarjetas de crédito de los consumidores de los piratas informáticos

(Whitman & Mattord, p. 125). Para mantener la seguridad de la información tanto de la

empresa como de los consumidores, el director de seguridad debe garantizar que exista una

política actualizada que detalle estas medidas de seguridad.

Conclusión

Como director de seguridad, la seguridad de la red es la máxima prioridad. Sin embargo,

pueden surgir diversas situaciones que podrían amenazar o dañar las medidas de seguridad

establecidas. Whitman y Mattord (2014) postulan que “la gestión de la seguridad de la

información tiene más que ver con la gestión de riesgos, las políticas y su aplicación que

con la tecnología de su implementación” (p. 48). Los directores de seguridad desempeñan

un papel fundamental al evaluar los riesgos, delinear políticas y procedimientos e informar

al personal para mantener la seguridad de la red.

Referencias

Procedimiento de gestión de incidentes. (Dakota del Norte). Recuperado el 13 de junio de 2016

de

https://www.mtech.edu/cts/policies/policies/incident.handling.pro..pdf

Las 10 principales citas sobre seguridad informática. (Dakota del Norte). Recuperado el 14 de
junio de 2016 de

http://www.itscolumn.com/2011/08/top-10-it-security-quotes/

Verry, J. (2008, 18 de diciembre). “Mejores prácticas” para activar la seguridad de una red o de
la información

administración. Obtenido el 12 de junio de 2016 de http://pivotpointsecurity.com/blog/best-

 ABORDAR LOS PROBLEMAS DE SEGURIDAD DE LA RED 8

practices-for-

despedir-a-un-administrador-de-seguridad-de-red-o-información/

Whitman, ME y Mattord, HJ (2014). Principios de seguridad de la información . Bostón,

MA: Aprendizaje Cengage.