mar 2

Written by: Blogger
02/03/2011 10:46 

Por Andres Morales.  Consultor Senior. Ximark Perú.

En la actualidad, luego de evaluar a múltiples organizaciones en toda la región, hemos podido apreciar que una  parte importante de las empresas tiene medidas mínimas para salvaguardar la información de sus clientes y proveedores.  Por otro lado, las empresa con un nivel maduro de seguridad tienen un enfoque TOP DOWN fortalecido por la alta dirección.  Y el "driver" de este grado de madurez  es una razón legal o debido a la necesidad con cumplir regulaciones, o porque cuentan con profesionales proactivos de seguridad de la información.

Pero ¿qué encontramos en aquellas con un grado de madurez bajo? Desgobierno, problemas recurrentes, falta de organización y control, desconocimiento del nivel de seguridad actual, procedimientos incorrectos e incompletos,  red y desconocimiento respecto al nivel de riesgo actual de los activos críticos de la organización.

La falta de medidas regulatorias gubernamentales, permite que continúe la falta de control, y en algunos de los países nuevas regulaciones en este sentido no tienen prioridad en la agenda política.  

Nuestra experiencia en muchas organizaciones no evidencia que sin necesidad de un incremento sustancial de presupuesto, ni incrementando de forma exagerada las labores diarias, han logrado ordenar la seguridad de la información interna en un plazo de seis meses a dos años, con el apoyo de la alta dirección, la cual debe estar conciencizada y apoyando todas las actividades referentes a seguridad de la información, que obliguen a los colaboradores de la empresa a realizarlas en el corto y mediano plazo.

Uno de los pilares de la seguridad de la información es la "GENTE", es decir que se alcance un nivel en donde interioricen que la seguridad de la información es una cultura de trabajo.  Para ello las  charlas de concienciación no sólo deben realizarle a la alta dirección, también se debe realizar al personal de forma periódica, al menos semestralmente y medir los resultados de las charlas, por medio de encuestas y evaluaciones al personal.

El riesgo no se puede desaparecer, se debe convivir con un nivel aceptable del riesgo, definido por la alta dirección en conjunto con los dueños de los activos de información, para poder mitigar el riesgo, se necesitan planes de tratamiento de los mismos, como resultado de un análisis de riesgo llevado a cabo a los activos más importantes de los procesos más representativos en la organización, como parte de la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI).

El fin de la seguridad de la información consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización; en el marco de un SGSI.

Los beneficios de implantar un SGSI son: Conocer con exactitud que activos de información se tienen actualmente en la organización, involucrar a la alta dirección en la gestión de la seguridad de la información, desarrollar y hacer cumplimiento de políticas de seguridad de la información, cumplir con las normas regulatorias vigentes del negocio, ejecutar un análisis de riesgos para el desarrollo del negocio, definir contratos de niveles de servicio (SLA), fortalecer la seguridad relacionada con el personal, diseñar e implementar planes de contingencia, continuidad del negocio y recuperación ante desastres relacionados con incidentes de seguridad informática, definición y seguimiento a indicadores de desempeño del sistema de gestión de seguridad de la información, disminución a niveles aceptables del riesgo, disminución de la prima del seguro, optimización de procesos, etc.

Algunas de las medidas para mitigar el riesgo hasta un nivel aceptable son: Ejecutar un análisis de riesgos y un análisis en el impacto del negocio, desarrollar un plan de tratamiento de riesgos, basado en el resultado del análisis de riesgos y alineado a los procesos críticos del negocio, definir el nivel de riesgo aceptable por parte de la alta dirección y el dueño del activo, elaborar un programa de concienciación al personal, elaborar políticas de seguridad de la información, auditar periódicamente lo anterior mencionado por una tercera parte externa a la organización, apoyándose en análisis de vulnerabilidades y pruebas de intrusión a los activos más importantes de la organización tanto internos como externos, de forma periódica. Si fuera el caso, certificarse en el cumplimiento de alguna normativa que afecte a la organización, para mantener el compromiso de los trabajadores con la seguridad de la información.

Éstas actividades no son inmediatas y por lo general no concluyen en resultados tangibles para la organización, a menos que tenga el respaldo de la alta dirección y se ejecuta como parte del plan estratégico de la empresa.

Una práctica común de la industria es que se realicen programas anuales de seguridad de la información con ayuda de un facilitador externo especialista en seguridad de la información, con el respectivo seguimiento al proyecto y que tenga objetivos alcanzables en el corto, mediano y largo plazo para la organización.