Como todos sabemos, la seguridad total en lo que a Sistemas de la Información se refiere ni existe ni va a existir nunca. Antes o después se materializará un riesgo, y cuando esto suceda es muy importante contar con las políticas, procedimientos y controles más adecuados para minimizar las sanciones en caso de una posible inspección.
En estas circunstancias, los Auditores debemos verificar que la Compañía ha sabido gestionar los riesgos de una forma adecuada, contando con un Manual de Políticas y Procedimientos apto para proteger los datos.
- Encriptamiento de los discos duros: Un gran porcentaje de pérdidas de información se deben a la pérdida involuntaria de un dispositivo (por ejemplo, el olvido del ordenador en un bar). En este caso demostrar que no existía información confidencial en ese dispositivo es una tarea dificil. Por el contrario, si el dispositivo disponía de un cifrado completo, no se necesitan más explicaciones, ya que el inspector sabe que el cifrado protege al dispositivo.
- Encriptamiento de unidades extraíbles: si la Compañía utiliza un sistema de encriptamiento de este tipo de dispositivos, es más fácil demostrar el cumplimiento de la legalidad.
- Un sistema de normas eficaz: establecer Manuales y Políticas de Procedimientos, que evidencien todas las medidas organizativas y técnicas que lleva a cabo la empresa es una cuestión fundamental.
- Políticas sobre uso aceptable: educar a los usuarios y establecer normas actualizadas constantemente es una manera de reducir incidentes. Por ejemplo, ¿está previsto en tu empresa el uso de smartphones desde casa y compartiendo datos con terceros?
- Antivirus de ultima generación: por ejemplo que el sistema utilice tecnologías basadas en la “nube”.
- Prevención de pérdida de datos: identificar los datos más sensibles y obligar a establecer mecanismos de cifrado cada vez que dicha información sea compartida puede ser una buena medida para convencer a los auditores de que tratas la seguridad de los datos de una manera responsable.
- Política de contraseñas seguras: ya hemos visto que una contraseña débil puede anular por completo toda una estrategia de seguridad corporativa. Pero tampoco es bueno que una contraseña sea excesivamente completa, puesto que al final acabamos escribiéndola en un post-it y pegándola en la pantalla del ordenador. En este video:
se dan unos buenos consejos sobre cómo elegir una buena contraseña. - Manual de gestión de incidentes: en caso de que finalmente se produzca un incidente, establecer Políticas donde se gestionen los mismos de una forma rápida y eficiente, implicando a todos los departamentos (por ejemplo: legal, marketing o atención al cliente) es fundamental para que cada miembro de la organización sepa lo que tiene que hacer ante estos problemas, conociendo más rápidamente el alcance del incidente, comunicándolo y reduciendo su impacto.
- Protección de los teléfonos móviles: cada vez hay más dispositivos móviles, y cada vez almacenan más información. Hay que mantenerse alerta sobre las nuevas amenazas que están surgiendo y comprobar que se cumplen todas las políticas de la firma.
- Control fuera del lugar de trabajo: también es muy importante comprobar que todos los elementos de seguridad funcionen fuera de oficina, cuando los dispositivos se conectan a otros servidores.
Si las empresas y los miembros que las componen siguen estos consejos, y a pesar de todo se produce un incidente o una vulneración de la Seguridad de la Información, los Inspectores se verán con más dificultades a la hora de imponer sanciones.
Fuentes consultadas:
- Stair, Ralph; Reynolds, George W. (2011). Principios de Sistemas de la Información.
- http://www.inteco.es/home/instituto_nacional_tecnologias_comunicacion/ : Instituto Nacional de tecnologías de la Comunicación.
- Apuntes de Seguridad Informática, Profesor Antonio Miranda.
2 comentarios:
Muy cierto todo lo que dices Ana.
Desde tu punto de vista, ¿crees que los procesos ligados a la seguridad informática experimentarán un incremento proporcional a la probabilidad de sufrir riesgos de manipulación de la información o piensas que alguno de los dos acabará desmarcándose, creando una mayor seguridad o exposición al riesgo, en su caso?
Saludos!
Reconozco estar también de acuerdo con lo comentado por Ana, y en respuesta a Álvaro creo que los riesgos van siempre por delante. Aunque deberíamos anticiparnos a los mismos, día a día vemos como las soluciones surgen por problemas sobrevenidos y sinceramente dudo mucho que esto vaya a cambiar. Inclusive, vemos como las soluciones propuestas no son todo lo eficaces que debieran, encontrándonos en múltiples ocasiones con escándalos de filtración de información, documentos, etc. Siendo así, termino con un comentario ya expuesto por Ana y que encaja a la perfección con mi opinión: “la seguridad total en lo que a Sistemas de la Información se refiere ni existe ni va a existir nunca”.
Publicar un comentario