Enfrente sus desafíos en seguridad y cumplimiento de normas

Enfrente sus desafíos en seguridad y cumplimiento de normas

Las crecientes exigencias del cumplimiento de normas y la necesidad de más seguridad implican que las empresas deben adoptar un método estratégico para administrar sus riesgos de seguridad.

El status quo ha cambiado. Durante años, las organizaciones aplicaron un método táctico para la seguridad. IT detectaba las vulnerabilidades y amenazas y reaccionaba a los ataques. Pero en la actualidad, las empresas se dan cuenta de que no es rentable protegerse de cada una de las amenazas a la seguridad. Las presiones crecientes de las normas implican que las organizaciones deben demostrar los pasos que han seguido para reducir los riesgos. Las organizaciones deben decidir el nivel de riesgo aceptable que satisface sus necesidades comerciales y garantiza el cumplimiento de las normas.

"Las organizaciones de seguridad de IT deben hacer la transición desde el antiguo modelo de protección de la empresa, en la medida en que les sea posible con el financiamiento disponible, hacia el nuevo modelo de gestión del riesgo en que se adoptan equilibrios de riesgo conscientes teniendo en cuenta los requisitos", aconseja Gartner Research en su informe "Risk Assessment Approaches for IT Security Risk Management" (Métodos de evaluación de riesgos para la gestión de riesgos de seguridad en Tecnologías de la Información) publicado en enero de 2006. "Las empresas deben aceptar que no se pueden proteger de todo, por lo que deben tomar decisiones respecto de aquello de lo cual pueden protegerse", concluyen los analistas.

Adopte el modo más fácil
La mayoría de las empresas han adoptado el modo difícil, abordando las normas individuales y las amenazas en proyectos independientes. Así, cada reforma y ley nueva implica revisar todo el proceso y cada vulnerabilidad nueva implica una defensa nueva, lo que ejerce presión sobre los recursos de la empresa.

En lugar de eso, las empresas deben adoptar el modo más fácil y enfrentar el cumplimiento de las normas y la seguridad en conjunto. Las organizaciones que adoptan un método de administración de riesgos de seguridad (SRM, Security risk management) pueden reducir los riesgos de incumplimiento de normas y aumentar su eficiencia.

La administración de riesgos de seguridad es un proceso, no un producto. "La administración de riesgos de seguridad es una manera de hacer negocios que ayuda a las organizaciones a identificar y eliminar proactivamente las exposiciones, bloquear los ataques, administrar el cumplimiento de normas e implementar estrategias de reparación", indica Michelle Johnson Cobb, gerente de marketing de productos grupales de McAfee, Inc.

Las empresas siguen varios pasos al adoptar la estrategia de administración de riesgos de seguridad. En primer lugar, evalúan la relación entre los niveles de riesgo de seguridad de IT y los costos de la empresa. Luego definen un nivel de riesgo aceptable para la organización. Después observan las distintas herramientas de seguridad con las que cuentan para recabar información sobre riesgos. Por último, comparan el valor de su información sobre riesgos con el costo de obtenerla y analizarla con diferentes herramientas de seguridad.

"La mayoría de los equipos de IT deben analizar una montaña de datos que provienen de diferentes herramientas de seguridad y comparar esta información a mano con las políticas y controles de seguridad de la empresa", señala Cobb. El desafío es convertir un flujo de datos sin sentido en información acerca de los niveles de riesgo. A partir de eso, las empresas pueden tener una visión clara de lo que costaría respaldar varias inversiones en IT.

Las empresas deben comunicar eficazmente la información sobre riesgo en IT a los ejecutivos para respaldar las auditorías, los análisis sobre retorno de inversiones y el compromiso de recursos. Establecer métricas de riesgo puede ayudar a las empresas a alinear sus iniciativas de seguridad con los objetivos comerciales, lo que simplifica la administración de seguridad. Por último, deben cuantificar los riesgos comerciales asociados con las brechas de seguridad para justificar la necesidad de soluciones mejoradas de seguridad en IT.

Las organizaciones deben definir una estrategia de administración del riesgo que proporcione notificaciones tempranas de las vulnerabilidades nuevas. Deben ser capaces de descubrir activos y determinar aquellos que son más esenciales para la empresa. Deben poder determinar cuáles son vulnerables. Deben poder dar prioridad a las actividades de reparación basándose en políticas de seguridad. Deben poder supervisar el cumplimiento gracias a su estrategia de administración de riesgos de seguridad. Por último, necesitan las herramientas que les ayuden a comunicar los niveles de riesgo y los costos a los ejecutivos de la empresa.

Método integrado
"McAfee es la única empresa que proporciona un método integral de administración de riesgos de seguridad. Nuestro método integra la administración de la prevención con la del cumplimiento de normas", señala Cobb.

El método integrado de seguridad y cumplimiento de normas de McAfee le ayuda a proteger sus activos contra las amenazas y también le ayuda a cumplir las políticas internas y las normas de la industria. Por ejemplo, usted puede asegurarse de que los computadores cumplen las normas de seguridad de su empresa antes de que puedan utilizar la red. El control de acceso a la red de McAfee® Policy Enforcer se integra con el agente de McAfee ePolicy Orchestrator® (ePO™) en los computadores de los usuarios para determinar si éstos cumplen las normas. Si el computador no las cumple, no puede tener acceso a la red hasta que se arregle el problema.

Las empresas usan las herramientas de administración de vulnerabilidades para determinar el efecto de las vulnerabilidades de software en sus redes y sistemas, y usan los sistemas de prevención de intrusos (IPS) para identificar y bloquear los ataques. Sin embargo, las herramientas de administración de vulnerabilidades no tienen la capacidad de detener ataques y los IPS bloquean los ataques sin saber si éstos realmente amenazan las redes y sistemas de la empresa. McAfee integró la administración de vulnerabilidades de McAfee Foundstone® con el IPS de McAfee IntruShield® para tener una solución que funciona mejor en conjunto. Ambas se adaptan perfectamente para indicarle la relevancia de un ataque y después bloquearlo automáticamente.

McAfee también está integrando su línea de productos para proporcionar informes avanzados sobre cumplimiento de políticas. Usted puede importar los datos de McAfee Foundstone en los productos de McAfee Preventsys. Puede enlazar las políticas y normas de seguridad de la empresa con verificaciones específicas de Foundstone, de modo que pueda asegurarse de que se cumplen las políticas en toda la red.

Recursos adicionales:

Haga click aquí para conocer más acerca del método de administración de riesgos de seguridad de McAfee.

McAfee y/u otras marcas que aparecen en este documento son marcas registradas o comerciales de McAfee, Inc. y/o de sus afiliados en Estados Unidos y otros países. El color rojo de McAfee en relación con la seguridad es distintivo de los productos de marca McAfee. Todas las marcas comerciales registradas y no registradas que aparecen en este documento son de exclusiva propiedad de sus respectivos dueños. © 2006 McAfee, Inc. Todos los derechos reservados.