This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.
  • #Protejamos_Nuestro_Negocio_Parte_2 # Gestión de la Seguridad de la información
Artículo:

#Protejamos_Nuestro_Negocio_Parte_2 #Gestión_de_la_Seguridad_de_la_información

09 diciembre 2019

Rosario Lopez , Servicios de IT - Gerente |

Comentamos anteriormente la importancia creciente de la información para cualquier organización, al punto de haberse convertido, en uno de los activos más valiosos para cualquier tipo de negocio. Asegurar la confidencialidad, integridad y disponibilidad de información sensible son esenciales ya no solo para obtener beneficios económicos, sino para evitar pérdidas derivadas de incidentes de seguridad y con ello mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de cualquier organización. 

La necesidad de un sistema de gestión de la seguridad de la información ((SGSI)

Recordemos también el concepto Activos de la Información que, además de la información en sí misma, abarca los medios y sistemas a través de los cuales se procesa, almacena y distribuye.  Aun disponiendo de un presupuesto ilimitado, resultaría prácticamente imposible garantizar un nivel de protección total basándonos exclusivamente en tecnología. La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización, contemplando la definición de políticas, normas y   procedimientos adecuados, así como la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una medición de la eficacia de los mismos. Este proceso sistemático ineludiblemente debe alinearse a los objetivos de negocio de la organización.

El punto de partida: Una Política general de seguridad de la información

Sin precisar una metodología específica para el diseño e implementacion de un SGSI (*), es esencial contar con un marco general, que defina los objetivos de seguridad para la organización, que establezca responsabilidades y los lineamientos que deben ser cumplidos por todos dentro de la misma.  Un marco de trabajo para todos los procesos de la firma, considerando también la interacción con terceros con quienes intercambiamos información (clientes, proveedores).

Análisis y Gestión de Riesgos

¿Cuáles son nuestros activos de la información más importantes? ¿Cuáles son críticos en el sentido del perjuicio que supondría su degradación, pérdida o no tenerlos a disposición?

¿A qué amenazas están expuestos? ¿Qué impacto ocasionaría la efectiva materialización de cada una de ellas? ¿Cuál es la probabilidad de que ello ocurra?

Las respuestas estas preguntas nos irán haciendo tomar conciencia de los riesgos a los que nos exponemos y el tratamiento de los mismos debiera depender de la criticidad de los activos comprometidos.

Concientizarnos y reconocer los riesgos a los que están sometidos nuestros activos de la información es esencial para asumirlos, minimizarlos, transferirlos o controlarlos. Y para ello requerimos de una sistemática definida, documentada y conocida por todos, que se revise y mejore constantemente.

Desarrollo de políticas, normas y procedimientos

Tanto los lineamientos establecidos en la Política General, como los resultados del Análisis de Riesgos deben plasmarse en políticas, normas y procedimientos específicos y en un plan de acción que defina los controles a ser implementados de modo de asegurar la continuidad de las operaciones de la organización.

En particular deberían tenerse en cuenta algunos de los siguientes aspectos:

  • Continuidad de operaciones y procedimiento de recuperación ante desastres.
  • Gestión de respaldo/recuperación de la información.
  • Gestión de usuarios, habilitación y definición de actividades permitidas según su función. Considerar fortaleza de las contraseñas.
  • Control de tráfico de redes y mail. Controles de acceso de usuarios externos.  Implementación y configuración de un firewall.
  •  Uso correcto de mail e internet.
  • Procedimientos para la gestión de incidentes de seguridad.
  • Estándares y procedimientos para intercambio seguro de información con terceros.
  • Seguridad en equipos móviles (notebooks, celulares). Encriptación.
  • Campañas de capacitación y concientización del personal.

Para concluir (y pensar)

Los ataques e infracciones a la seguridad de la información pueden sucederle a cualquier empresa, de cualquier tamaño, y tienen la potencialidad de causar graves daños, a sus finanzas y reputación. En este contexto la única opción es tomar medidas para proteger los activos más valiosos, implementando una metodología integral para la gestión de la seguridad de la información que garantice el cumplimiento de los objetivos de seguridad definidos para sustentar la consecución de los propios objetivos del negocio.

(*) La metodología por excelencia es la definida en la familia de normas ISO 27000.

[email protected]