A medida que una organización crece, esta necesitará de una seguridad sostenible y controlada para medir y mejorar su rendimiento, y para ello se necesitará realizar auditorías de ciertos controles que exigen la norma a la que la organización está sujeta u obligada. Existen controles complejos de implememtar que pueden inclusive llevar meses de implementación, debido a la magnitud de su implementación. Sin embargo hay controles que en muchas ocasiones ya se encuentran implementadas de manera implícita en las organizaciones y hay otras que solo necesitan una leve ayuda para cumplirlas. A continuación tres medidas de seguridad para implementar de manera rápida.

Contraseña de un solo uso

Este control funciona bajo la misma lógica de las tarjetas de débito que entregan unos bancos, es decir, te entregan en un sobre sellado una contraseña que sólamente tú podrás ver, y que sólo se utilizará una sóla vez. Al ingresar la tarjeta en el cajero automático te solicita que ingreses la contraseña del sobre y una nueva que sólo tú conocerás. Este tipo de registro de usuarios es bajo supervisión, es decir, no existe una interfaz donde el usuario vaya e ingrese sus datos para crear su propio acceso al sistema (en este caso el cajero automático). Muchos motores de bases de datos tienen esta medida de seguridad implementada, solamente es cuestión de activarla y adecuarse a las políticas de contraseñas que necesitan, para los sistemas de información, es necesario implementar el algoritmo que permita lo comentado, eso necesitará un super usuario administrador.

Separación de ambientes

Los trabajadores que son desarrolladores, testers, operadores de despliegue, entre otros, manejan información propia de su área, pero sobre todo los operadores de despliegue, quienes se encargan de manipular acceso delicados respecto a los binarios, librerías o ejecutables del sistema. Una medida de seguridad es que estos estén separados físicamente, y no se traslade información hablada a quienes no les compete, como rutas, accesos, permisos, parámetros globales, usuarios privilegiados, entre otros datos. Una medida como lo hacen las grandes empresas es establecer ambientes separados por vidrios, permitiendo visibilidad de las otras personas (siempre y cuando el área no sea de acceso restringido) pero no de la escucha de la misma.

BYOD

Anteriormente en audit escribimos un artículo sobre ello, basicamente es conversar con todos los trabajadores de que ya no usen su celular personal para manejar información de la empresa, debido a la delicadeza de la información y la alta vulnerabilidad a la que está sujeta un dispositivo móvil. Bring your own device, implica a que si el trabajador está altamente sujeto a utilizar su dispositivo móvil para procesar información organizacional, este dipositivo debe ser vigilado y monitoreado por el área de TI de la organización, algo que no muchos ven con buenos ojos, caso contrario se deben adquirir nuevos dispositivos para el control del área de TI de la organización.

Consejo audit

Dependiendo del contexto de la organización, exiten muchos controles que se deben implementar; controles documentales, controles técnicos, controles ambientales, físicos, etc. En audit somos expertos en implementación de controles ISO 27001, bajo el uso de auditoría ágil, esto permitirá a pequeñas empresas a que se concentren de manera holísitca en el cuidado de sus activos de información sujetos bajo el software de gestión que maneja audit. Más información consúltanos en info@audit.pe.