Buenas prácticas para la seguridad corporativa
La seguridad de los datos y transacciones es de vital importancia en esta época de rápida expansión de las redes informáticas comerciales y oficiales, y de la nueva economía basada en Internet. Los retos que se derivan de la seguridad se han convertido en los más importantes en todas aquellas compañías que hacen uso de las tecnologías de la información.
El término seguridad informática es una generalización para un conjunto de tecnologías que ejecutan ciertas tareas relativas a la seguridad de los datos. El uso de estas tecnologías de forma eficiente para asegurar una red corporativa requiere que se integren dentro de un plan global de seguridad. El proceso de planificación para su implantación correcta supone:
| • | Adquirir una comprensión en detalle de los riesgos potenciales del entorno (por ejemplo, virus, hackers y desastres naturales). |
| • | Realizar un análisis proactivo de las consecuencias y mediciones de los posibles agujeros de seguridad en relación con los riesgos. |
| • | La creación de una estrategia de implantación cuidadosamente planificada para integrar las medidas de seguridad dentro de todos los aspectos de una red corporativa, en base a esa comprensión y análisis. |
Buenas prácticas para la Seguridad Corporativa es una recopilación de documentos (Whitepapers) que se centran en diferentes aspectos de la seguridad en las redes corporativas. Estos documentos se clasifican en tres categorías generales que responden a los diferentes niveles de conocimiento necesario para crear e implantar un concepto de seguridad con éxito. La estructura también permite a los lectores aproximarse al problema de la seguridad a partir de sus áreas personales de experiencia e interés. Estos niveles y los enlaces a sus correspondientes documentos son:
 | Analistas y responsables de la seguridad (backgrounders): documentos que proporcionan una visión general de los aspectos relativos a la seguridad y métricas independientes de la tecnología.
|
| Implantadores y técnicos de campo: una serie que comienza con un documento que describe un ejemplo de arquitectura de seguridad, y continúa con documentos que abordan cada entidad de esa arquitectura por separado, analizando como se adaptan dentro de la arquitectura como un todo.
|
| Buenas prácticas de seguridad: un conjunto final de documentos que analizan una serie de escenarios de la vida real y las soluciones implantadas. |
Estos documentos deben aportar a los lectores una base sólida sobre la cual construir la estrategia de seguridad corporativa.
Acerca de la Arquitectura de Bloques de Entidades de Seguridad
Los documentos “Best Practices for Enterprise Security” están basados en una línea conceptual que considera la seguridad de los datos en términos de entidades de seguridad de una corporación. Para implantar un nivel de seguridad eficaz, este concepto primero considera la estructura de la red de forma global, y luego desagrega esa estructura en entidades menores, de manera que se puede determinar el nivel de exposición a riesgos individual y se pueden implantar medidas de seguridad para cada entidad. Estas entidades suponen la base de la Arquitectura de Bloques de Entidades de Seguridad.
Esta arquitectura modular divide la estructura de seguridad de una corporación en las siguientes entidades:
| • | Sistemas finales (ordenadores y dispositivos hardware con sistema operativo) |
| • | Sistemas de comunicación local (funcionalidad de red) |
| • | Autoridad administrativa (gestión centralizada de la seguridad) |
| • | Redes privadas (redes compartidas entre empresas) |
| • | Internet |
El siguiente diagrama muestra la relación entre estas entidades.
Para más información acerca de la Arquitectura de Bloques de Entidades de Seguridad, por favor vea Security Entities Building Block Architecture, un documento de primera clase dentro de la serie de Buenas Prácticas para la Seguridad Corporativa.