La arquitectura y estrategia global de seguridad debe estar enfocada a asegurar la confidencialidad, integridad y disponibilidad de la información y los sistemas.

A nuestro modo de ver, para alcanzar este objetivo hay dos grandes tareas que afrontar.

  • La primera es más evidente: análisis y gestión de riesgos (SGSI).
  • La segunda no lo es tanto: planes de concienciación y comunicación.
A la hora de abordar el análisis y gestión de riesgos, hay que abordar cinco grandes bloques:

  • Cumplimiento regulatorio.
  • Gestión de identidad y acceso.
  • Seguridad en las aplicaciones.
  • Seguridad en la infraestructura.
  • Continuidad de negocio.
Cumplimiento regulatorio
  • Conjunto de regulaciones y normativas en materia de seguridad que establecen diferentes requisitos en diferentes ámbitos (LOPD, LSSI, BASILEA III, SOX, MiFID,…).
Gestión de identidad y acceso
  • Crear una única identidad compartida a través de aplicaciones y recursos.
  • Implementar la estructura, procesos y tecnologías para gestionar identidades y sus atributos de manera coherente.
  • Proveer seguridad individualizada y derechos de acceso basado en la identidad y perfil de una persona.
  • Proveer tecnologías de control de acceso para permitir “single sign-on” simplificado.
Seguridad en aplicaciones
  • Diferenciar entre desarrollos propios y software estándar.
  • Incorporar controles de seguridad en la metodología de desarrollo.
  • Integrar las aplicaciones, propias y de terceros, con el sistema de Gestión de Identidades.
Seguridad en infraestructura
  • Seguridad de la Red.
  • Seguridad de los Sistemas.
  • Protección del Puesto de Trabajo.
  • Seguridad de los Datos.
  • Controles antifraude.
  • Gestión de la seguridad de infraestructuras.
  • Consolidación de toda la información disponible.
  • Generación y gestión de eventos de seguridad.
Continuidad de negocio
  • Prevenir la pérdida de Datos y Servicio.
  • Gestión de la crisis.
  • Recuperación de Sistemas.
  • Identificación del personal crítico.
  • Recuperación del entorno de trabajo.
  • Mantenimiento de la actividad dentro de la normalidad.
  • Recuperación de edificios/oficinas.