ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
Implementación seguridad información empresas
1. 1
Diseño de Implementación de Seguridad de la
Información en Empresas.
Alvarenga, Evelyn., Martínez, Rubén. y Pineda, Telma.
Vicerrectoría de Postgrados, Universidad Don Bosco, El Salvador
Abstract— La implementación de seguridad de la
información en las empresas ha aumentado en los últimos
años, debido a que se ha caído en la cuenta de la
importancia que tiene el hecho de proteger la información
de una empresa, ya sea de ataques en la red, divulgación
inadecuada por parte de algunos de los empleados, entre
otras cosas que hagan vulnerable este activo.
Sin embargo podría ser que en algunas empresas no se haga
la implementación más adecuada por cuestiones financieras
por lo que no se debe de dejar a analizar la viabilidad
económica que dicha implementación tendrá para la
empresa.
I. INTRODUCCIÓN
Hoy en día la seguridad de la información está tomando
un papel muy importante en el desarrollo e
implementación de sistemas informáticos, para ello se han
ideado técnicas y herramientas que ayudan a proteger uno
de los activos más valiosos que las empresas puede tener,
la información. Entre esas técnicas se encuentran el
cifrado, ayudando a que la información no sea legible, en
caso de ser interceptada por un intruso en la red.
Además dado que la seguridad de la información busca
garantizar la integridad, disponibilidad y confidencialidad
de la misma, es necesario recurrir a otro tipo de
herramientas que ayudan a monitorear el flujo de
información en la red y a detener accesos no autorizados
a esta.
Al momento de implementar la seguridad de la
información en una empresa es importante verificar a su
vez la viabilidad económica del proyecto, que la empresa
pueda financiarlo y que sea viable para la misma.
II. MATERIALES Y MÉTODOS
En este apartado se mencionarán algunos elementos o
herramientas que son importantes y que ayudarán a la
implementación de seguridad de la información en las
redes empresariales.
DLP (Data Lost Prevention)
Este tipo de herramientas ayudan que prevenir perdidas
en la información por fuentes como medios extraíbles,
adjuntos en correos electrónicos, hurto o pérdida de
equipos, etc.
Firewall de nueva generación
Es un dispositivo de seguridad de red que supervisa el
tráfico de red entrante y saliente y decide si se permite o
bloquea tráfico específico basándose en un conjunto
definido de reglas de seguridad.
Service Level Agreement (SLA)
Es un acuerdo contractual entre una empresa de
servicios y su cliente, donde se define, fundamentalmente
el servicio y los compromisos de calidad.
Este tipo de contrato existe ya que los servicios de las
empresas de tecnología y de comunicaciones son
enormemente flexibles, por lo que la selección de los
proveedores y el servicio indicado es difícil y el control
de calidad complejo.
Retorno de la Inversión (ROI)
Se define como el cálculo utilizado para identificar si
una inversión es rentable o si por el contrario, no es lo más
indicado. Se calcula dividiendo el total de los ingresos
entre el total de los gastos, definiendo un período de
inversión determinado para calcular en cuánto tiempo se
obtendrán los beneficios. Si el cálculo del ROI es mayor
a uno se considera que la inversión es rentable.
2. 2
Políticas de seguridad
Es un conjunto de reglas y prácticas que regulan la
manera en que se deben dirigir, proteger, acceder y
distribuir los recursos en una organización para llevar a
cabo los objetivos de seguridad informática de la misma.
IPSec
Es un marco de estándares que permiten asegurar que
las comunicaciones a través de Internet sean privadas y
seguras, lo cual permite garantizar la confidencialidad,
disponibilidad e integridad de las comunicaciones de
datos a través del uso de una red pública.
Segmentación de la red para administrar mejor los
permisos de acceso
Es una buena práctica en el diseño e implementación
de redes, lo que hace es dividir en pequeños grupos la red
de la empresa para poder así tener un mayor control sobre
los flujos de datos, de tal manera que se comuniquen de
manera restringida a las necesidades de la empresa y no
dejando un flujo totalmente abierto libre para todas las
maquinas que se conecten a la red.
III. RESULTADOS Y DISCUSIÓN
1. Diseño de la Implementación
Una vez tomada la decisión de realizar el proyecto es
necesario generar un cronograma de actividades donde se
coloquen las actividades del proyecto, el tiempo
aproximado de su ejecución, la persona que será la
encargada, quién ejecutara la tarea y la fecha en la que se
iniciara la ejecución de la actividad.
Una de las principales tareas a realizar para
implementar la seguridad de la información, es revisar la
red de datos de la empresa para que de ser necesario se
haga un ajuste o modificaciones a la misma, si no está
bien segmentada, mejorar la segmentación y el
aislamiento, para que desde el diseño de la red se
comience a contribuir con la protección de la información
o datos que viajen por la misma.
Cabe destacar que hay que tomar en cuenta las
capacidades económicas de la compañía por lo que se es
de gran importancia realizar el cálculo del ROI para
validar si el proyecto será rentable una vez el mismo sea
implementado. Revisando el total de los ingresos que
generará el proyecto y la suma total de los gastos para
luego llevar a cabo la realización del cálculo del mismo.
Además se debe hacer un inventario previo de la
información que más sensible o de las áreas que más
necesitan protección, pues así se pueden diseñar
soluciones a la medida o se pueden enfocar mejor los
recursos de seguridad.
Una vez se ha determinado si el proyecto resulta ser
viable para la empresa, se debe determinar que productos
de hardware se utilizarán para la red y de igual manera
que software se van a comprar para la implementación.
Para la elección del hardware lo que se debe de tomar
en cuenta es sea compatible con el diseño que ya se realizó
de la red y que este tenga las mejores características en
base a los requerimientos de seguridad que se planteen
para la red. El software a utilizar debe ser elegido teniendo
en cuenta cuáles son los procesos críticos y principales de
la empresa, dado que esos procesos son los que no pueden
faltar en la solución informática que decida contratarse o
implementarse, de igual manera tiene que ser compatible
con los demás desarrollos o sistemas que ya tiene la
empresa.
Posteriormente se debe pasar a la implementación el
toda la empresa, teniendo en cuenta que si es necesario se
debe de capacitar al personal, para evitar errores en el
desarrollo de sus actividades.
Por último se deben crear métricas que nos ayuden a
determinar el impacto que ha tenido el proyecto luego de
su implementación, esto facilitará el análisis de resultados
y ver en qué aspectos se puede mejorar dicho proyecto.
IV. CONCLUSIONES
La información es uno de los activos más importantes
que tiene una empresa, por ello la importancia que debería
tener el hecho de protegerla debe ser mucha, no se debe
descuidar.
Una implementación no siempre se va a realizar con las
mejores opciones de hardware y software que existen en
el mercado, ya que estas deben adecuarse a las
necesidades y recursos de cada proyecto, de ahí la
importancia de tener claro que se quiere exactamente y
saber con cuanto presupuesto se cuenta, si es viable o no
3. 3
para la empresa según su presupuesto.
En conjunto con lo anterior, también se deben
establecer políticas orientadas a la seguridad de la
información, para que no solo los empleados sino
cualquier persona que ingrese o se relacione con la
entidad, esté al tanto de las reglas a seguir y no se abran
brechas de seguridad producto del desconocimiento.
V. REFERENCIAS
[1] (2017) Cisco website [Online]. Available:
https://www.cisco.com/c/dam/global/es_mx/assets/ofertas/desconectadosanoni
mos/routing/pdfs/brochure_redes.pdf
[2] (2017) Palo Alto website [Online]. Available:
https://www.paloaltonetworks.es/