di Eliud Eliizondo Moya
Il livello di coscienza sulla sicurezza delle informazioni nelle organizzazioni è superiore che mai. Tuttavia, sembra che non sia possibile mantenere abbastanza attenzione per avanzare con nuove tecnologie e minacce, che possono essere messe a rischio le attività più importanti delle aziende: informazioni.
La prima cosa da chiederci su come proteggiamo i nostri beni più preziosi: stiamo guidando la sicurezza delle informazioni verso il percorso giusto?
Rispondi onestamente questa domanda e fare un’analisi a tale riguardo ci aiuterà a identificare elementi fondamentali che dovrebbero essere considerati in una strategia di sicurezza aziendale, per ottenerlo in grado di fornire un reale vantaggio per l’organizzazione e che non siano visti come spese non necessarie, esclusiva delle aree di Tecnologia dell’informazione (IT).
Per affrontare questa domanda, dobbiamo espandere la nostra visione per scoprire che la sicurezza delle informazioni non lo fa Dipende solo dalle aree IT o da un gruppo selezionato di persone all’interno dell’istituzione, ma si trova in ogni componente del business.
Per ottenere questo approccio è necessario analizzare tre questioni principali, che dobbiamo considerare come parte di una strategia aziendale:
un programma di gestione della sicurezza delle informazioni
Questo deve avere la sponsorizzazione del top management, per poter rappresentare e rispondere a tutto il business . Richiama che cerchiamo un’adeguata gestione della sicurezza delle risorse informative e queste non si trovano solo nei sistemi informatici, ma dovrebbero anche essere preoccupati per gli spazi fisici dell’intera organizzazione.
Un adeguato programma di gestione della sicurezza deve essere allineato con la strategia aziendale, che rende la sicurezza in un abilitatore aziendale e un elemento per raggiungere tale rischio si trasformano in opportunità. Quanto sopra può essere ottenuto definendo una strategia e un piano di scadenza, attraverso l’analisi dei rischi per la sicurezza nei processi aziendali, che consente di identificare punti di forza, punti deboli e requisiti in questi.
Inoltre, è un’eccellente attività per aumentare la coscienza nei leader delle diverse aree della società sui rischi esistenti e attenzione che devono avere con le informazioni che Custode.
Sollevare che i punti di forza, i rischi e i requisiti di sicurezza in ciascun processo devono essere identificati e dettagliati dai leader e responsabili di portarli fuori. Le aree IT e la sicurezza delle informazioni possono funzionare solo come moderatori di questa attività.
In questo programma di gestione, argomenti come:
· Modello e governo di sicurezza
· Business continuità (BCP / DRP)
· Analisi e gestione dei rischi
· Formazione e consapevolezza
· Metriche e rapporti di sicurezza
Amministrazione di minacce e vulnerabilità
La sicurezza include persone, processi e tecnologia. Va notato che questo ultimo punto svolge un ruolo molto importante a causa della grande quantità di informazioni commerciali riparato nei sistemi informatici, che viene trasmessa attraverso Internet utilizzando soluzioni nel cloud, i siti Web dell’organizzazione o l’e-mail. In molte occasioni, questo contenuto non viene trasmesso attraverso mezzi affidabili e sicuri, quindi potrebbe essere intercettato o addirittura modificato durante la spedizione.
Seguendo la costruzione del puzzle di una strategia di sicurezza aziendale, dobbiamo conoscere i nostri punti di forza, identificare le minacce tecnologiche e affrontare i rischi a cui il business è esposto. Ciò si ottiene eseguendo valutazioni tecniche in infrastrutture IT e sistemi informatici.
Si raccomanda che questa attività non sia eseguita solo eseguendo uno strumento semplice, ma sono loro Coinvolgere professionisti esperti sull’argomento per coordinare gli sforzi e identificare i percorsi che qualcuno potrebbe adottare, con l’obiettivo di rubare o modificare le informazioni aziendali.
è incredibile come, oggi, molte organizzazioni sono esposte a quell’individuo, in meno di 5 minuti, assuva l’identità di qualsiasi dipendente, compresi i membri manageriali, e-mail. Questa situazione è molto difficile per uno strumento per identificarlo chiaramente; Tuttavia, una persona con conoscenza di hacking molto semplice (comunemente chiamata script kiddie), può farlo facilmente quando non ci sono controlli adatti.
Deve essere considerato che anche se queste attività Sono tecnici, dobbiamo presentare i punti di forza, rischi e minacce ai livelli di gestione in un linguaggio aziendale, che può essere percepito come l’organizzazione possa essere influenzata non frequentando con tali rischi e minacce. Esempi di questo sono il danno all’immagine, sanzioni dell’autorità per la non conformità, il furto di denaro attraverso il processo dei conti da pagare, ecc.
Una somministrazione adeguata di minacce e vulnerabilità deve includere:
· Test di hacking etico
· Valutazione dell’architettura tecnologica
· Analisi di sicurezza in applicazioni e cellulari
· Sicurezza nel ciclo di vita dello sviluppo dei sistemi informatici
· Analisi della sicurezza del cloud
protezione dei dati, privacy e conformità
Da che la legge sulla protezione dei dati personali federali era Pubblicato in possesso di individui, innumerevoli aziende – indipendentemente dal loro turno o del suo settore – hanno effettuato diagnosi e miglioramenti di conformità nei processi che richiedono un trattamento o una gestione dei dati personali; Tutto questo per svolgere le ordinanze di detta legge.
È molto importante formalizzare ciò che questa e altre leggi o regolamenti che cercano la protezione e la privacy di qualsiasi dato che si trova nelle mani delle aziende; Tuttavia, è molto comune osservare la separazione tra gli sforzi compiuti per proteggere le informazioni critiche dal business e ai dati che devono essere protetti da un obbligo di una legge o di una norma.
Devi solo considerare che i punti di forza, i rischi e i requisiti di sicurezza in ciascun processo aziendale devono essere identificati e dettagliati dai leader e responsabili per portarli fuori.
Non dobbiamo isolare la questione della sicurezza delle informazioni; È necessario cercare l’allineamento della strategia, i processi, il piano di scadenza e il modello di sicurezza con tali elementi che richiedono l’organizzazione, in particolare quelli relativi alla protezione e alla privacy dei dati.
Oltre alla conformità, ci sono altri fattori che è importante considerare durante la protezione e la privacy dei dati:
· Un governo dati.
· Il piano di protezione, incluso nella strategia di sicurezza delle informazioni aziendali.
· Il programma per la prevenzione delle perdite.
Infine, è necessario riflettere sul percorso che sta prendendo la sicurezza delle informazioni all’interno dell’organizzazione e inizia a lavorare in combinazione con tutte le aree, Per definire ed eseguire una strategia che è un più abilitante per l’adempimento degli obiettivi e, ovviamente, per proteggere questa risorsa vitale: le informazioni.