10 practicas de Seguridad Informatica
Páginas: 11 (2664 palabras)
Publicado: 23 de octubre de 2013
10 prácticas en seguridad
Hoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. He aquí las 10 más importantes.
Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandan proactividad, alineacióncon el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.
Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.
Cuáles de esas best practices implementar dependerá de las necesidades de cada organización, sin embargo,consultores, analistas y proveedores expertos conforman, para b:Secure, el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad.
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son losobjetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
"Si se quieren colocar controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los sistemas relevantes; se corre el riesgo de perder el rumbo", advierteRicardo Lira, gerente de CARE de Ernst and Young.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar "las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa", sugiere Carlos Zamora presidente de ISACA (Asociación deAuditoría y Control de Sistemas de Información)
Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir "qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia", precisa Zamora.
Por último, "viene bien hacer una clasificación de la información para evaluar cuál esla más crítica, con el fin de dotarla de los mayores controles", refiere Octavio Amador, director de servicios de consultoría de Symantec.
Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es loprioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. "En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientescomo para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados", afirma Francisco Puente, CEO de GCP Global.
¿Cómo identificar esto? Una alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o sus contraseñas. "La manera común es aplicar pruebas y ver cómo ejecutan los procedimientos, pero hay otras opciones para llegar realmente alfondo de su cultura de protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver cuál es su reacción", indica Puente.
A su vez, Zamora comenta que incluso se debería analizar qué tan relevante es en las actividades diarias de los empleados el tema de seguridad. De hecho, "eso tendría que ser parte de la evaluación del desempeño del personal".
Más aún,...
Hoy, la tendencia es alinearse con mejores prácticas para construir una estrategia de seguridad exitosa. He aquí las 10 más importantes.
Las exigencias cada día son mayores para los responsables de la seguridad informática de las compañías. Y es que hoy, ya no basta con mantener una estrategia reactiva de protección. Los tiempos demandan proactividad, alineacióncon el negocio; en resumen: escaparse del entorno de los fierros para ser más estratégicos.
Cumplir con todo esto se antoja difícil sí, sin embargo, los encargados de seguridad tienen a su disposición para enfrentar dichas demandas a unas eficaces aliadas, las mejores prácticas.
Cuáles de esas best practices implementar dependerá de las necesidades de cada organización, sin embargo,consultores, analistas y proveedores expertos conforman, para b:Secure, el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad.
1. Alinearse con los objetivos del negocio. Antes de pensar en la tecnología a implementar y las políticas a seguir para la protección de una empresa, resulta fundamental analizar cuáles son losobjetivos del negocio, sus procesos prioritarios, los activos más importantes, los datos más críticos; porque sólo así se asegurará de forma robusta aquello que realmente es importante para el funcionamiento de la compañía.
"Si se quieren colocar controles sin conocer qué se va a proteger, cuáles son los procesos, las áreas, los sistemas relevantes; se corre el riesgo de perder el rumbo", advierteRicardo Lira, gerente de CARE de Ernst and Young.
Por lo tanto, conviene tomarse el tiempo necesario para analizar todos estos puntos y también para identificar "las regulaciones que afectan al negocio, el cumplimiento normativo, disposiciones locales e internacionales y el marco interno de políticas y procedimientos de la empresa", sugiere Carlos Zamora presidente de ISACA (Asociación deAuditoría y Control de Sistemas de Información)
Asimismo, resulta importante en este análisis averiguar cuál es el grado de riesgo tolerable por los accionistas, es decir "qué nivel de exposición están dispuestos a asumir y cuál es el monto que pueden arriesgar frente a una gran contingencia", precisa Zamora.
Por último, "viene bien hacer una clasificación de la información para evaluar cuál esla más crítica, con el fin de dotarla de los mayores controles", refiere Octavio Amador, director de servicios de consultoría de Symantec.
Ya con toda esta información se pueden establecer los objetivos del área de protección y las acciones a seguir, pero basados en los requerimientos y metas de la organización.
2. Elaborar un mapa de riesgos. Una vez que ya se tiene identificado qué es loprioritario dentro del negocio, conviene hacer un análisis de riesgos y vulnerabilidades para establecer de forma clara cuáles son las amenazas a los activos críticos de la organización.
Sólo que en este análisis no se debe olvidar considerar tanto infraestructura como procesos y personal. "En el mapa de riesgos debe ubicarse, por ejemplo, qué personas no tienen los conocimientos suficientescomo para operar los sistemas sin comprometerlos o quiénes son negligentes o descuidados", afirma Francisco Puente, CEO de GCP Global.
¿Cómo identificar esto? Una alternativa es evaluar al personal respecto a cómo maneja el intercambio de información o sus contraseñas. "La manera común es aplicar pruebas y ver cómo ejecutan los procedimientos, pero hay otras opciones para llegar realmente alfondo de su cultura de protección, una de éstas es: decirles que compartir los passwords no es tan riesgoso y ver cuál es su reacción", indica Puente.
A su vez, Zamora comenta que incluso se debería analizar qué tan relevante es en las actividades diarias de los empleados el tema de seguridad. De hecho, "eso tendría que ser parte de la evaluación del desempeño del personal".
Más aún,...
Leer documento completo
Regístrate para leer el documento completo.