Viernes, 15 Septiembre 2017 15:41
Escrito por Luis Mario Sosa

¿Cómo estamos en Security Compliance en Colombia?

En el 2016 y durante el 2017 ELLIPTICAL realizó una serie de evaluaciones de seguridad de los sistemas de Firewalls, de clientes de diferentes sectores del mercado.

Como resultado de estas evaluaciones, se generaron reportes que permitieron conocer el estado de cumplimiento de las políticas configuradas en la herramienta Firewall vs los 97 Controles de las Mejores Practicas de Seguridad del Mercado, detectándose que en promedio, los clientes tienen más del 33% de sus reglas de Firewall sin usar, y el 60% de sus servicios y objetos, también se encuentren sin uso.

En las reglas de Firewalls se encontró que un 29% cuentan con objetos o servicios tipo ANY y más del 65 % de sus políticas se encuentran sin comentarios, en general fallaron en promedio en 45 de los 97 controles.

Al indagar sobre el por qué de esta situación, la mayoría de los operadores de la plataforma, manifiesta que no cuenta con procedimientos adecuados para:


  • Creación de reglas
  • Eliminación de reglas
  • Manejo de reglas deshabilitadas
  • Eliminación de ANYs dentro de las reglas
  • Herramientas automatizadas para seguimiento


Adicionalmente, como parte de sus funciones no tienen asignada esta labor, por lo cual no le dedican tiempo a realizar estas revisiones de manera periódica. Si las empresas no generan procedimientos o incluyen herramientas especializadas, para realizar estas actividades, sus sistemas de información estarán expuestos y sus Firewalls consumirán recursos adicionales, que finalmente afectará el rendimiento de los mismos.


Es importante que las organizaciones como parte de sus sistemas de seguridad de la información, incluyan procedimientos y responsables para el mantenimiento de sus firewalls y dependiendo de la cantidad, variedad y complejidad, reserven presupuestos para la adquisición de herramientas (Firemon) o servicios especializados, que automaticen esta tarea.

Valora este artículo
(1 Voto)