En primer lugar, la guía señala la necesidad de examinar el sistema existente para determinar la exposición de la seguridad y cómo minimizar esos riesgos. En ese sentido, es importante contestar las siguientes preguntas:
La red: ¿qué clase de protección utiliza actualmente? ¿Qué clase de conexiones se realizan en la red? ¿Algún empleado se conecta de forma remota?
Dispositivos utilizados: ¿cuántos y qué clase de dispositivos se conectan a la red? Por ejemplo, la seguridad inalámbrica se trata de forma diferente a la seguridad de los dispositivos con cable. ¿Qué clase de seguridad está utilizando ahora?
Activos de información: ¿cuáles son los datos e información confidenciales de la empresa y dónde se guarda? La información valiosa requiere un cuidado especial de seguridad.
¿Quiénes son los usuarios? – Piense en quién puede acceder a qué información en la red, y cuáles son las clases de contraseñas que se requieren.
En segundo término está la creación de un plan de seguridad. En este punto, cada empresa, independientemente del tamaño de la red, debe contar con un plan de seguridad, el cual debe definir el comportamiento adecuado del usuario e identificar los procedimientos, así como las herramientas de seguridad que se implementarán. A continuación, se detallan los temas más importantes que se deben incluir en el plan de seguridad:
Derechos de acceso: una empresa puede optar entre tres opciones cuando se trata de la confianza: 1) Confiar en todo el mundo en todo momento; 2) Desconfiar de todo el mundo en todo momento; 3) Confiar en algunas personas, a veces. Cada enfoque tiene sus ventajas y desventajas, pero la tercera opción es el modelo empresarial más común.
Acceso remoto: un plan de seguridad debe establecer prácticas informáticas seguras para los usuarios remotos. Esto incluye el uso del antivirus y del firewall en los dispositivos informáticos, y cómo realizar una conexión VPN segura.
Protección de la información: detallar directrices para procesar, almacenar y enviar los activos de TI confidenciales de la empresa.
Prevención de virus: reducir la exposición a virus con software de seguridad y educación del usuario. Señalar las soluciones de seguridad necesarias en la red, el perímetro y la estación de trabajo. Suministrar a los usuarios un manual sobre prácticas informáticas seguras.
Uso de contraseñas: los usuarios deben cambiar las contraseñas con frecuencia por contraseñas alfanuméricas de ocho dígitos.
Copia de respaldo y recuperación: realizar copias de respaldo periódicas de los datos importantes. Crear un plan para recuperar los datos en caso de alguna interrupción en la red.
Por otro lado, cuando se escriba el plan de seguridad, es necesario recordar que éste debe:
Poder implementarse y cumplir con las normativas.
Ser conciso y fácil de comprender.
Equilibrar la protección con la productividad.
Por último, es muy importante educar al equipo de trabajo:
Capacitar a los empleados con el plan de seguridad terminado.
Probar a los empleados para asegurar prácticas de seguridad adecuadas después del entrenamiento.
Instruir a cada nuevo empleado en el plan. Intencional o no, el error del usuario es la causa de muchos problemas de seguridad.
Revisar el plan cada seis meses y actualizarlo si es necesario. El panorama de la seguridad nunca es estático y un plan de seguridad tampoco debería serlo.
