Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
HASSEL DANIEL TORO FRANCO WILDER JOHAN QUINTERO CORREA YEISON SAMIR AGUIRRE QUINTERO JORGE ANDRES RAMIREZ TREJOS
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnologa a implementar y las polticas a seguir para la proteccin de una empresa, resulta fundamental analizar cules son los objetivos del negocio, sus procesos prioritarios, los activos ms importantes, los datos ms crticos; porque slo as se asegurar de forma robusta aquello que realmente es importante para el funcionamiento de la compaa. Si se quieren colocar controles sin conocer qu se va a proteger, cules son los procesos, las reas, los sistemas relevantes; se corre el riesgo de perder el rumbo. Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y tambin para identificar las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de polticas y procedimientos de la empresa. 2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qu es lo prioritario dentro del negocio, conviene hacer un anlisis de riesgos y vulnerabilidades para establecer de forma clara cules son las amenazas a los activos crticos de la organizacin. Slo que en este anlisis no se debe olvidar considerar tanto infraestructura como procesos y personal. En el mapa de riesgos debe ubicarse, por ejemplo, qu personas no tienen los conocimientos suficientes como para operar los sistemas sin comprometerlos o quines son negligentes o descuidados, afirma Francisco Puente, CEO de GCP Global. Cmo identificar esto? Una alternativa es evaluar al personal respecto a cmo maneja el intercambio de informacin o sus contraseas. La manera comn es aplicar pruebas y ver cmo ejecutan los procedimientos, pero hay otras opciones para llegar realmente al
9. Medir el nivel de seguridad en la compaa. Para conocer el avance de la estrategia de proteccin, y ver si los objetivos se estn cumpliendo, es necesario medir su progreso, a travs de mtricas, con las que se evale tecnologa, procesos y personas. Las alternativas para esto son muchas y muy variadas. Se puede evaluar el proceso de administracin de incidentes, las vulnerabilidades, el control de versiones y el grado de conciencia del personal, por ejemplo. Tambin es posible recurrir a mediciones del nmero de deficiencias identificadas en la ltima auditora, el nmero de polticas que no se cumplen, los usuarios capacitados o la cifra de alertas procesadas. Los resultados de todo esto deben comunicarse a la alta direccin, porque sus miembros necesitan saber cmo evoluciona la seguridad de la informacin. Pero hay que plasmar los avances de forma sencilla. Lo ms conveniente es llegar con una presentacin corta y decir: en aplicaciones crticas estamos as; en operaciones de esta forma, o bien se pueden utilizar semforos, para mostrar el avance de la estrategia y el estado de los activos, expresa. Lo ms recomendable es que el encargado de seguridad reporte cada mes a la alta direccin, el avance de su estrategia, porque adems el seguimiento debe ser contino. Algo que ayuda a esto es el monitoreo, para tener una fotografa de la infraestructura, tanto en configuraciones, como en aplicaciones y equipos. R/. A nivel de hardware establecer un servidor alterno al general de la empresa, para dar viabilidad a los servicios de seguridad sin interrupcin y as mejor su efectividad para ejecutar el software de medicin y control de alertas por irrupciones al sistema o fallas del personal en el manejo de la informacin.
dispositivos portables y en la nube. Como es conocido y evidenciado en la actualidad, el transporte de informacin en dispositivos mviles, USB, discos duros portables, DD on line y conexiones a escritorios remotos, es manejado por los usuario con gran facilidad, el cual se amarra ms a una actividad oportuna de realizar; que a una necesidad, en la mayora de los casos. Puesto que los recursos dados por la empresa requieren tomar este tipo de opciones con el fin de no establecer situaciones de vnculo permanente en las instalaciones de las
mismas. Por tal motivo, se puede dar la situacin en la que se incurra en faltas graves de seguridad al momento de retirar informacin privada de la empresa, la cual contenga puntos estratgicos y/o procesos de nico inters. Con base en lo anterior, se puede establecer un procedimiento de seguridad el cual no permita retirar informacin del ordenador por cualquiera de los posibles medios antes mencionados.