Seguridad Informática en las Organizaciones
Enviado por Ensa05 • 15 de Diciembre de 2017 • 2.288 Palabras (10 Páginas) • 490 Visitas
...
recordados.
La informática es por lo tanto el corazón de una organización moderna en donde la rapidez con que se ofrecen servicios y la oportunidad que se ofrece a los clientes es un clave en el éxito de un negocio, por esto la disponibilidad de los servicios informáticos es esencial en las organizaciones modernas, esto no significa que los otros factores no tengan importancia, o el contrario, tener medidas que garanticen estos principios permiten alcanzar niveles competitivos y ahí está la diferencia. Los beneficios evidentes son del orden:
• Rápida implementación de nuevos productos.
• Incremento de productividad.
• Reducción de costos de operación.
• Aprovechamiento de los recursos de hardware y software al máximo.
• Mejoramiento del servicio a los clientes.
Hay factores que deben tenerse en cuenta cuando el negocio se basa en el uso de la tecnología, aspectos tales como: los programas pueden fallar, los passwords pueden ser adivinados, los mensajes pueden ser interceptados, los logs de auditoria pueden ser modificados, los desastres y accidentes ocurren, los riesgos existen, los controles pueden ser eludidos, la información no siempre es segura y no hay que olvidar el elemento humano.
Sin embargo la seguridad informática no siempre es reconocida como una necesidad, en muchos casos la seguridad se ve como un valor adicional que no ofrece ningún beneficio tangible e inmediato. Esto tiene implicaciones en las cuales la seguridad se implementa después de que un servicio informática entra en funcionamiento y esto los hace muchos más impactantes y costos. La idea de que la seguridad puede ser por medio de un paquete independiente del servicio es algo que también impera en los niveles administrativos, aunque en algunos casos esto es aplicable, la seguridad debe ir vinculada estrechamente a las políticas, procedimientos, estándares, etc. Y estos aspectos deben ser diseñados de acuerdo a las características de la organización.
Un esquema de seguridad informática permite:
• Permanencia en la operación. A través de un plan de recuperación del negocio, no solamente un plan de contingencia sino un plan que recupera y mantiene operativo el negocio. Acabar con el “no hay línea”.
• Esquema de Calidad. Si en la organización no existe un esquema de aseguramiento de calidad, la seguridad contribuye a formar una base en caminada a la calidad, por medio de estándares.
• Competitividad. Nuevos productos, nuevos servicios que pueden ser desarrollados para beneficio de la empresa.
• Mantener la confidencialidad. Los datos de los clientes deben estar bien protegidos, igualmente los empleados evitan ser considerados sospechosos.
• Persuadir o registrar actos delictivos. El esquema de seguridad es el mejor disuasivo.
• Disminuir costos de seguros. Las compañías de seguros consideran la seguridad informática dentro de sus elementos a considerar.
• Incorporar mas clientes en la organización. En la medida que los servicios informáticos sean seguros, estables y confiables, éstos generarán oportunidades de mercadeo.
Fundamentos de un modelo de seguridad informática.
El modelo de seguridad debe estar basado en las políticas que la organización ha determinado como parte de su operación. Las políticas que se definen deben ser periódicamente revisadas y actualizadas, debidamente divulgadas para garantizar el conocimiento de ellas por parte de todos los miembros de la organización, apoyo total de la administración, suficientes recursos para la implementación y un equipo de personas dedicadas a esta función, son aspectos básicos para lograr los objetivos buscados.
Las políticas deben estar acordes a las circunstancias del negocio, deben ser premisas no negociables.
Pero, como definir estas políticas? A continuación se presenta una posible guía para determinar la seguridad informática requerida por su organización.
1. Como primer paso y pieza fundamental del modelo de seguridad a implementar están las políticas de la organización. Estas políticas tienen dos niveles, el primer nivel lo determinan las regulaciones legales y el entorno en el cual se ubica la organización. Las políticas que se derivan de este nivel son claramente visibles para la alta administración de la empresa.
2. En un segundo paso se debe realizar una identificación de los servicios informáticos con que opera la organización y clasificarse de acuerdo a su criticidad.
3. Como tercer paso se debe realizar un análisis de riesgos a cada uno de los servicios identificados (por lo menos a los críticos), éste análisis de riesgos identifica las amenazas a las que están expuestos cada uno de ellos.
4. Una vez identificadas las amenazas y el impacto de éstas sobre el negocio, se debe realizar una clasificación del tópico (tema general) que las identifica.
5. Con estos elementos se debe realizar una “matriz de asociación” de tópicos de amenazas y servicios informáticos, colocando en la intersección de las filas y columnas el tipo de control que se requiere (Preventivo, Correctivo, Disuasivo). Es importante determinar si realmente se requiere un control y de que nivel.
6. Una vez clasificados los tipos de control requeridos en la matriz, se procede a definir las políticas referentes a las necesidades de control identificadas.
7. El paso siguiente es lograr la aprobación de las políticas por un comité de alta gerencia, con el fin de alcanzar el compromiso de todos los niveles de la organización.
8. La divulgación es fundamental para garantizar que cada miembro de la organización conoce las políticas de seguridad sobre las cuales pueden operar.
9. Como paso final, se tiene la evaluación y actualización de las políticas existentes de acuerdo a la evolución del negocio y a los cambios tecnológicos.
Y luego? Una vez identificadas las políticas de la organización, se procede a la definición de los procedimientos, estándares y recomendaciones que determina cada política. Como soporte de la política es posible que se tenga una herramienta computacional que refuerce los procedimientos definidos,
...