Guía de tecnología

Guía para la seguridad continua de TI

La seguridad de TI y la ciberseguridad deben ser continuas e integradas. ¿Pero cómo hacerlo? Tenemos algunas ideas, pero estas no deben considerarse como pasos aislados o lineales. Considérelas como una serie de engranajes interconectados: cuando uno gira, los otros también lo hacen. De la misma manera, cada elemento de un plan de seguridad debe moverse de forma sincronizada.

Security guide diagram

Diseño

La seguridad comienza con el diseño

Diseñe flujos de trabajo que utilizan procesos colaborativos y responsables en todos los equipos para definir e implementar la seguridad en el ciclo de vida de TI. Si usa tecnologías que tienen entornos altamente conectados (como la nube), tenga en cuenta que parte del control estará en manos de un proveedor externo.

Algunas preguntas para analizar con su equipo: ¿qué tipo de controles y procesos de seguridad requiere su entorno? ¿Cómo será trabajar con proveedores? ¿Cómo comunicará las decisiones de seguridad importantes entre los equipos?

Design phase of security

Para comenzar:

  • Defina los requisitos y controles de seguridad.
  • Desarrolle procesos de seguridad de forma colaborativa.
  • Mantenga a sus equipos actualizados con estándares de seguridad.
  • Establezca métodos de comunicación que sean claros para que, cuando sea necesario, se puedan implementar las soluciones de seguridad en todo el ciclo de vida de TI de forma tan simultánea como sea posible.
  • Seleccione proveedores que sean confiables y que establezcan claramente sus responsabilidades.

Crear

Cree seguridad cuando aplique la automatización

DevOps utiliza la automatización para ejecutar un bucle de retroalimentación continuo en todas las etapas del ciclo de vida de las aplicaciones. El diseño de la seguridad emplea esta práctica, incluso si la suya no es una empresa DevOps. Automatizar las verificaciones y los procesos de seguridad tiene varias ventajas: evita la duplicación y disminuye los errores humanos, proporciona un panel centralizado para la toma de decisiones y acelera el proceso de búsqueda y respuesta ante las amenazas. También puede usar la automatización para diseñar puertas de seguridad con el objetivo de evitar la implementación automáticamente si falla un control de seguridad.

Aun así, igual se producen falsas alarmas y amenazas internas. La automatización necesita ser administrada de manera tal que funcione adecuadamente para las necesidades específicas de sus equipos. A medida que diseñe la seguridad en su infraestructura, aplicaciones y procesos, verifique si los controles están implementados para evitar cambios y accesos no autorizados. Utilice encriptación siempre que pueda.

Build phase of security

Para comenzar:

  • Automatice e integre las pruebas de seguridad en sus procesos de diseño e implementación.
  • Utilice puertas de seguridad para desencadenar acciones adecuadas, ya sea que se trate de implementar o evitar la implementación.
  • Utilice interfaces y algoritmos criptográficos.
  • Elija infraestructura que tenga capacidades de registro y supervisión.

Ejecutar

Ejecute en plataformas de seguridad mejorada

Los modelos tradicionales de seguridad que dependen de procesos manuales no son compatibles con los requisitos de seguridad de las tecnologías nuevas y distribuidas, como la nube. Estas tecnologías, junto con las herramientas y los procesos que le brindan soporte, dependen en gran medida de la automatización. Ya sea que utilice entornos físicos, virtuales o de nube pública o privada, asegúrese de que su infraestructura tenga incorporadas plataformas protectoras de seguridad mejorada que sean comunes para todos sus entornos.

Run phase of security

Para comenzar:

  • Automatice e integre las pruebas de seguridad en sus procesos de diseño e implementación.
  • Las plataformas de infraestructura deben ser integradas, utilizables y consistentes en todas las arquitecturas, y susceptibles a una amplia variedad de procesos.

Gestionar

Gestione la configuración, los usuarios y los accesos

No se olvide de invertir en herramientas de gestión que administren la automatización de los cambios de configuración de seguridad, las auditorías y las soluciones de problemas. La asignación de roles de forma temprana y de acuerdo con sus requisitos específicos de seguridad lo ayudará a mantener un entorno de seguridad resistente. Asegúrese de asignar privilegios solamente a aquellos que los necesiten para realizar sus tareas. Posiblemente haga esto cuando las personas ingresan a su empresa, pero asegúrese de actualizar los datos de usuario de forma periódica, y nuevamente cuando ya no formen parte de la empresa.

Algunas consideraciones para tener en cuenta: ¿tiene instaladas herramientas para analizar y disminuir los incidentes? ¿Cómo utilizará la automatización para aplicar, auditar y solucionar los problemas de seguridad y las políticas de cumplimiento de las normas en forma automática y en todas las cargas de trabajo?

Manage phase of security

Para comenzar:

  • Mantenga un catálogo actualizado de los activos y supervise el acceso y el uso.
  • Implemente una solución de gestión para lograr una seguridad proactiva y continua que proteja toda su infraestructura: física, virtual y de nube pública y privada.
  • Gestione activamente los usuarios y accesos con un panel que le permita mantener un seguimiento de todas las etapas del ciclo de vida de TI.
  • Defina perfiles de seguridad con los controles de seguridad requeridos.
  • Automatice el cumplimiento de estos perfiles de seguridad.
  • Asegúrese de contar tanto con la infraestructura como con la seguridad como código. Esto lo ayudará a tener una infraestructura repetible, con capacidad de ser compartida y verificada; además, facilitará la implementación de auditorías de cumplimiento de las normas.

Adaptarse

Adáptese a los cambios de este panorama

El panorama de la seguridad cambia rápidamente. Planifique realizar revisiones con regularidad según los cambios que suceden paralelamente en los requisitos de control y auditorías. Conozca dónde debe dirigirse ante alarmas y notificaciones de seguridad y utilice esa información para adaptarse en consecuencia. Aun así, aunque cuente con los mejores planes de seguridad, todos los días se descubren nuevos vectores de ataque. Implementar una respuesta rápida ante una amenaza de seguridad es una de las estrategias más importantes que puede llevar a cabo para proteger su empresa. Contar con un partner que lo guíe en la aplicación de parches, revisiones y en la recuperación es fundamental para que su negocio se mantenga en marcha.

Adapt phase of security

Para comenzar:

  • Utilice análisis y automatización para adaptarse: revise, actualice y solucione problemas a medida que cambia el panorama.
  • Actualice las configuraciones de acceso a medida que cambian las funciones y las responsabilidades.
  • Mantenga los requisitos de control y auditoría.
  • Revise y actualice sus políticas y el control a medida que cambia el panorama.

Recursos de seguridad

Desarrolladores

Programa para desarrolladores de Red Hat

Obtenga más información sobre programación segura con el Programa para desarrolladores de Red Hat.

Capacitación

Red Hat Security: Linux in Physical, Virtual, and Cloud (RH415)

Administre el riesgo de seguridad y satisfaga los requisitos de cumplimiento con nuestras tecnologías de seguridad.

Soporte

Administración de cuentas técnicas

Asóciese con un consultor técnico que ofrece asesoramiento sobre riesgos y verificaciones de soporte.

Más información sobre el enfoque de Red Hat respecto a la seguridad