Seguridad en las empresas
Páginas: 23 (5711 palabras)
Publicado: 28 de junio de 2011
Políticas y Procedimientos en Seguridad de Información en las empresas
Introducción
Antes de enfocarnos en un esfuerzo de elaborar las políticas de seguridad, es aconsejable aclarar quién es responsable de promulgarlas y aplicarlas. Solamente cuando exista claramente la asignación clara de estas responsabilidades. De no hacerlo así, se corre el riesgo de posteriores objeciones, críticas ymalentendidos, que pueden significar problemas y grandes retrasos.
La alta gerencia debe darse cuenta que hay problemas serios de seguridad y que se requiere de políticas para afrontarlos. Si bien esto puede parecer obvio, muchos intentos de desarrollar e implantar las políticas no ha llegado a ninguna parte porque no se habían echado las bases. El trabajo previo incluye a menudo una brevepresentación a la alta gerencia para sensibilizarla sobre la necesidad de la seguridad informática.
Lo que se debe tener en cuanta a la hora dela elaboración de las políticas se seguridad de una empresa.
Idealmente, el desarrollo de políticas de seguridad debe comenzarse después de una evaluación a fondo de las vulnerabilidades, amenazas y riesgos. Esta evaluación debería indicar, quizás sólo agrandes rasgos, el valor de la información en cuestión, los riesgos a los cuales esa información se sujeta, y las vulnerabilidades asociadas a la manera actual de manejar la información. También pueden ser incluidos en la declaración de las políticas, los tipos generales de riesgos enfrentados por la organización, así como cualquier otra información útil obtenida a partir del análisis de riesgos.Otro requisito previo necesario para tener éxito involucra la perspectiva de la Junta Directiva y la alta gerencia. Sólo después de que sus miembros tomen conciencia de que los activos de información son un factor vital para el éxito de la organización, es que la seguridad informática es apreciada como un asunto serio que merece atención. En caso contrario probablemente no apoyen la idea deestablecer políticas de seguridad
Un buen momento para desarrollar un conjunto de políticas de seguridad es cuando se está preparando el manual de seguridad para los activos de información. Debido a que ese manual va a ser distribuido a lo largo de toda la organización, representa un medio excelente para incluir también las políticas de seguridad. También pueden publicitarse las políticas enmaterial tal como video, carteles o artículos en un periódico interno.
Otro bueno momento es después de que haya ocurrido una falla grave en seguridad, por ejemplo una intrusión de hackers, un fraude informático, un accidente sin poder recuperar los datos, un incendio y en general algún tipo de daño o perjuicio que haya recibido la atención de la alta gerencia. En este caso habrá un alto interés enque se apliquen las políticas de seguridad y que se implanten medidas más efectivas. Hay que actuar rápidamente para desarrollar las políticas, ya que el nivel de preocupación de los gerentes y de los empleados tiende a decrecer luego que ha pasado el incidente.
Un buen objetivo a tener presente cuando se redactan las políticas, es que ellas deberían durante varios años, por ejemplo cinco años.En realidad, se harán modificaciones más a menudo, pero para evitar que se vuelvan obsoletas rápidamente, debe elaborarse para que sean independientes de productos comerciales específicos, estructuras organizativas específicas, así
como las leyes específicas y regulaciones.
Las cosas mueven muy rápidamente en el campo de tecnología, incluyendo la seguridad informática. Por ejemplo, hace apenasalgunos años la mayoría de las organizaciones no creían que era necesaria una política de seguridad para Internet, pero hoy día es muy importante.
Las políticas deben revisarse en forma periódica, preferiblemente cada año, para asegurarse de que todavía son pertinentes y efectivas. Es importante eliminar aquellas políticas que ya no son útiles o que ya no son aplicables. Este esfuerzo...
Introducción
Antes de enfocarnos en un esfuerzo de elaborar las políticas de seguridad, es aconsejable aclarar quién es responsable de promulgarlas y aplicarlas. Solamente cuando exista claramente la asignación clara de estas responsabilidades. De no hacerlo así, se corre el riesgo de posteriores objeciones, críticas ymalentendidos, que pueden significar problemas y grandes retrasos.
La alta gerencia debe darse cuenta que hay problemas serios de seguridad y que se requiere de políticas para afrontarlos. Si bien esto puede parecer obvio, muchos intentos de desarrollar e implantar las políticas no ha llegado a ninguna parte porque no se habían echado las bases. El trabajo previo incluye a menudo una brevepresentación a la alta gerencia para sensibilizarla sobre la necesidad de la seguridad informática.
Lo que se debe tener en cuanta a la hora dela elaboración de las políticas se seguridad de una empresa.
Idealmente, el desarrollo de políticas de seguridad debe comenzarse después de una evaluación a fondo de las vulnerabilidades, amenazas y riesgos. Esta evaluación debería indicar, quizás sólo agrandes rasgos, el valor de la información en cuestión, los riesgos a los cuales esa información se sujeta, y las vulnerabilidades asociadas a la manera actual de manejar la información. También pueden ser incluidos en la declaración de las políticas, los tipos generales de riesgos enfrentados por la organización, así como cualquier otra información útil obtenida a partir del análisis de riesgos.Otro requisito previo necesario para tener éxito involucra la perspectiva de la Junta Directiva y la alta gerencia. Sólo después de que sus miembros tomen conciencia de que los activos de información son un factor vital para el éxito de la organización, es que la seguridad informática es apreciada como un asunto serio que merece atención. En caso contrario probablemente no apoyen la idea deestablecer políticas de seguridad
Un buen momento para desarrollar un conjunto de políticas de seguridad es cuando se está preparando el manual de seguridad para los activos de información. Debido a que ese manual va a ser distribuido a lo largo de toda la organización, representa un medio excelente para incluir también las políticas de seguridad. También pueden publicitarse las políticas enmaterial tal como video, carteles o artículos en un periódico interno.
Otro bueno momento es después de que haya ocurrido una falla grave en seguridad, por ejemplo una intrusión de hackers, un fraude informático, un accidente sin poder recuperar los datos, un incendio y en general algún tipo de daño o perjuicio que haya recibido la atención de la alta gerencia. En este caso habrá un alto interés enque se apliquen las políticas de seguridad y que se implanten medidas más efectivas. Hay que actuar rápidamente para desarrollar las políticas, ya que el nivel de preocupación de los gerentes y de los empleados tiende a decrecer luego que ha pasado el incidente.
Un buen objetivo a tener presente cuando se redactan las políticas, es que ellas deberían durante varios años, por ejemplo cinco años.En realidad, se harán modificaciones más a menudo, pero para evitar que se vuelvan obsoletas rápidamente, debe elaborarse para que sean independientes de productos comerciales específicos, estructuras organizativas específicas, así
como las leyes específicas y regulaciones.
Las cosas mueven muy rápidamente en el campo de tecnología, incluyendo la seguridad informática. Por ejemplo, hace apenasalgunos años la mayoría de las organizaciones no creían que era necesaria una política de seguridad para Internet, pero hoy día es muy importante.
Las políticas deben revisarse en forma periódica, preferiblemente cada año, para asegurarse de que todavía son pertinentes y efectivas. Es importante eliminar aquellas políticas que ya no son útiles o que ya no son aplicables. Este esfuerzo...
Leer documento completo
Regístrate para leer el documento completo.