Universidad Veracruzana

Skip to main content

Conocimientos generales: ¿Por qué es tan importante la gestión de activos de software en la seguridad de la información?

La gestión de activos de software y su importancia en la seguridad

Los códigos maliciosos continúan representando un serio problema de seguridad para los usuarios de tecnología: prueba de ello es el reciente resultado del ESET Security Report 2016, donde el malware se posicionó como la principal causa de incidentes dentro de las empresas de Latinoamérica.

El principal motivo de esto es la ausencia de una solución de seguridad contra códigos maliciosos, pero hay otra gran puerta de entrada para el malware en las empresas: el software sin licencia.

Correlación directa entre software sin licencia y malware

Una investigación de BSA de reciente publicación, identifica una relación directa entre los ciberataques y el uso de software sin licencia, lo que aumenta la probabilidad de padecer por algún tipo de software malicioso.

SI LOS EMPLEADOS PUEDEN DESCARGAR E INSTALAR SOFTWARE ILEGAL ES PORQUE NO SE LLEVA UNA CORRECTA GESTIÓN DE ACTIVOS DE SOFTWARE

El informe destaca la importancia de conocer y controlar los programas que se utilizan dentro de una organización, ya que a una mayor tasa de software sin licencia mayor es la probabilidad de una infección por malware. Para minimizar los riesgos, la principal medida consiste en adquirir el software desde las fuentes legítimas, así como gestionar estos recursos a través de buenas prácticas.

Pero, ¿qué pasa cuando son los propios empleados los que descargan e instalan software ilegal? Allí es cuando fallan las políticas del equipo de seguridad y no se lleva una correcta gestión de activos de software. Veamos cómo remediarlo.

Gestión de activos de software: definición e implementación

También conocida como SAM (por las siglas en inglés de Software Asset Management), la gestión de activos de software se considera una buena práctica para controlar los recursos de TI dentro de una organización. Como su nombre lo indica, se enfoca principalmente al software utilizado para las operaciones.

Un sisema de SAM permite hacer un inventorio de la red y tener políticas y prácticas para comprar, implementar, actualizar o retirar software.

Si bien cualquier práctica de gestión se puede realizar de forma manual o automatizada, lo importante en cuanto a la implementación inicialmente es la adopción, luego una adecuadaadaptación, y finalmente la aplicación y mantenimiento. En una etapa posterior viene la mejora, en busca de aumentar el nivel de madurez.

Las fases que pueden conformar la implementación se describen a continuación.

1. Contar con un inventario de activos

El punto de partida para la gestión de activos de software consiste en realizar un inventario. Esta práctica se puede hacer para todo tipo de activos, sin embargo SAM se enfoca en el software. Como ya se adelantaba, esta tarea se puede realizar de forma manual, pero cuando se tienen diversos recursos, se puede automatizar a través de herramientas especialmente diseñadas.

El propósito de esta tarea es elaborar y mantener un registro actualizado y exacto de todo el software utilizado en la organización, identificar dependencias entre activos y clasificar el software de acuerdo a su criticidad. También se debe asignar dueños, custodios y usuarios de cada activo de software.

2. Verificar el uso adecuado de activos

En el proceso de gestión de activos, una segunda tarea consiste en identificar las licenciasadquiridas. En esta fase se organiza la información relacionada con ellas y la documentación del software. El propósito es verificar si los activos son utilizados de manera efectiva y eficiente, tanto como sea posible. Además, se verifica que esta información se protege adecuadamente.

Aquí también es posible utilizar herramientas que permitan el adecuado control del licenciamiento, como los gestores de licencias, el control de aplicaciones, la distribución de software o bien los gestores de actualizaciones y parches de seguridad.

3. Cumplir con políticas y requisitos legales

Durante todas las fases del ciclo de vida del software, es importante que la gestión permita el cumplimiento de los distintos requisitos a los cuales se debe apegar la organización. Esto es, desde la adquisición e implementación de software hasta el momento de su eliminación.

Una de las principales razones para la gestión de activos de software es el cumplimiento y la reducción de riesgos legales por el uso inadecuado del software. Del mismo modo, la gestión de los activos de software busca cumplir con las políticas y lineamientos internos en cuanto al uso adecuado de las herramientas de software.

4. Mantener y mejorar la gestión de activos de software

Una cuarta fase de la gestión busca que el personal mantenga y mejore el proceso mismo, a través de la actualización de la información, la programación regular de los inventarios, la capacitación de los colaboradores y finalmente la mejora a través de un incremento de los niveles de madurez y la automatización.

Prácticas de gestión como medio para mejorar y aumentar la seguridad

Sin duda alguna, las prácticas de gestión aplicadas dentro de las organizaciones surgen como un medio para utilizar los recursos de tecnología de una manera efectiva y eficiente, y como lo observamos en este caso, casi de forma directa también contribuyen a mejorar y aumentar la seguridad de la información, al controlar los activos que resultan indispensables dentro de las empresas.

Por ello, también se han desarrollado modelos específicos para la gestión de los activos de software, tal es el caso de estándares y mejores prácticas como ISO 19770. Pero como lo hemos mencionado en otras oportunidades, todo depende de los recursos, características y necesidades de cada organización, por lo que se requiere de una adecuada adopción, adaptación y aplicación de las mejores prácticas recomendadas.

Fuente: http://www.welivesecurity.com/

Fecha: 06 Junio 2016

Enlaces de pie de página

Ubicación

Rectoría.
Lomas del Estadio SN.
Col. Zona Universitara.
Xalapa, Veracruz.

Redes sociales

Transparencia

Código de ética

Última actualización

Fecha: 20 noviembre, 2024 Responsable: Coordinación de Gestión de Incidentes de Ciberseguridad Contacto: contactocsirt@uv.mx