por Eliud Eliizondo Moya
O nivel de conciencia sobre a seguridade da información nas organizacións é maior que nunca. Non obstante, parece que non é posible manter a atención suficiente para avanzar xunto coas novas tecnoloxías e ameazas, que se poden poñer en risco os activos máis importantes das empresas: información.
O primeiro que debemos preguntarnos sobre como protexemos os nosos activos máis preciosos: estamos guiando a seguridade da información cara ao camiño correcto?
Responder honestamente esta pregunta e facer unha análise a este respecto que nos axudará a identificar elementos fundamentais que deben considerarse nunha estratexia de seguridade corporativa, para obtelo capaz de proporcionar un beneficio real para a organización e que non se verá como un gasto innecesario, exclusivo das áreas de Tecnoloxía da información (IT).
Para afrontar esta pregunta, debemos ampliar a nosa visión para descubrir que a seguridade da información non É só depende das áreas de TI ou dun grupo selecto de persoas dentro da institución, pero atópase en cada compoñente do negocio.
Para obter este enfoque é necesario analizar tres temas importantes que debemos considerar como parte dunha estratexia corporativa:
Programa de xestión de seguridade de información
Debe ter o patrocinio da alta dirección, a fin de poder representar e responder a todo o que é o negocio .. Lembre que buscamos unha xestión adecuada da seguridade dos activos de información e estes non só se atopan nos sistemas informáticos, senón que tamén deben preocuparse polos espazos físicos de toda a organización.
Un programa de xestión de seguridade adecuado debe estar aliñado coa estratexia corporativa, o que fai que a seguridade nun habilidor empresarial e un elemento para lograr que os riscos transfórmanse en oportunidades. O anterior pódese conseguir definindo unha estratexia e un plan de madurez, a través da análise de riscos de seguridade nos procesos comerciais, que permite identificar puntos fortes, débiles e requisitos nestes.
Ademais, é unha excelente actividade para aumentar a conciencia nos líderes das diferentes áreas da empresa nos riscos e coidados existentes que deben ter coa información que Custodio.
Só ten que considerar que os puntos fortes, os riscos e os requisitos de seguridade en cada proceso deben ser identificados e detallados polos líderes e responsables de levar a cabo. As áreas de TI e a seguridade da información só poden funcionar como moderadores desta actividade.
Neste programa de xestión, temas como:
· Modelo e de Goberno de seguridade
· continuidade de negocio (BCP / DRP)
· Análise e xestión de riscos
· formación e conciencia
· métricas e informes de seguridade
Administración de ameazas e vulnerabilidades
A seguridade inclúe persoas, procesos e tecnoloxía. Nótese que este último punto desempeña un papel moi importante debido á gran cantidade de información comercial que está protexida nos sistemas informáticos, que se transmite a través de Internet usando solucións na nube, os sitios web da organización ou o correo electrónico. En moitas ocasións, este contido non se transmite a través de medios fiables e seguros, polo que podería ser interceptado ou incluso alterado durante o envío.
Seguindo a construción do enigma dunha estratexia de seguridade corporativa, debemos coñecer os nosos puntos fortes, identificar as ameazas tecnolóxicas e abordar os riscos aos que se expón a empresa. Isto conséguese realizando avaliacións técnicas nas infraestruturas de TI e sistemas informáticos.
Recoméndase que esta actividade non se realice só executando unha ferramenta sinxela, pero é eles Involucre profesionais experimentados sobre o tema para coordinar esforzos e identificar as rutas que alguén malicioso podería levar, co obxectivo de roubar ou alterar a información comercial.
É incrible como, hoxe, moitas organizacións están expostas a que un individuo, en menos de 5 minutos, asuvant a identidade de calquera empregado, incluídos os membros de xestión, a través de Correo electrónico. Esta situación é moi difícil para unha ferramenta para identificala claramente; Non obstante, unha persoa con coñecemento de piratería moi básica (comúnmente chamada script kiddie), pode facelo con facilidade cando non hai controis axeitados.
debe considerarse que aínda que estas actividades Son técnicos, debemos presentar os puntos fortes, os riscos e as ameazas aos niveis de xestión nunha linguaxe empresarial, que se pode percibir como a organización pode verse afectada por non atender a tales riscos e ameazas. Exemplos deste son o dano á imaxe, sancións da autoridade para o incumprimento, o roubo de diñeiro a través do proceso de contas a pagar, etc.
Unha administración adecuada de ameazas e vulnerabilidades debe incluír:
· Probas de hacking éticas
· Avaliación da arquitectura tecnolóxica
· Análise de seguridade en aplicacións e móbiles
· Seguridade no ciclo de vida do desenvolvemento de sistemas informáticos
· análise de seguridade en nube
Protección de datos, privacidade e cumprimento
a partir diso foi a lei de protección de datos persoais federales Publicado en posesión de individuos, incontables empresas – independentemente da súa quenda ou sector – realizaron diagnósticos e melloras de cumprimento en procesos que requiren algún tratamento ou xestión de datos persoais; Todo isto para levar a cabo as ordenanzas da devandita lei.
É moi importante formalizar o que esta e outras leis ou regulamentos que buscan a protección e privacidade de calquera dato que está en mans das empresas; Non obstante, é moi común observar a separación entre os esforzos realizados para protexer a información crítica do negocio e os datos que deben estar protexidos por unha obriga de lei ou norma.
Só tes que ter en conta que os puntos fortes, os riscos e os requisitos de seguridade en cada proceso empresarial deben ser identificados e detallados polos líderes e responsables de levar a cabo.
Non debemos illar o problema da seguridade da información; É necesario buscar o aliñamento da estratexia, os procesos, o plan de madurez eo modelo de seguridade con aqueles elementos que requiren a organización, especialmente aqueles relacionados coa protección e privacidade dos datos.
Ademais do cumprimento, hai outros factores que é importante considerar durante a protección e privacidade dos datos:
· un goberno de datos.
· O plan de protección, incluído na estratexia de seguridade da información corporativa.
· O programa para a prevención da fuga.
Finalmente, ten que reflexionar sobre o camiño que está a tomar a seguridade da información dentro da organización e comezar a traballar en conxunto con todas as áreas, Para definir e executar unha estratexia que é máis capaz de cumprir o cumprimento dos obxectivos e, por suposto, para protexer este activo vital: a información.