El rápido desarrollo de avances tecnológicos, el rango de impacto en la sociedad, la facilidad de acceso a la internet, y la información que con relativa facilidad proporciona la red de redes ha obligado a muchas empresas y organizaciones mantener sus activos en su mayor parte apoyados en una infraestructura tecnológica, ya sea por facilidad, velocidad, mejora significativa del performance de la empresa o calidad de administración.
Internet es un claro reflejo de la sociedad en la que vivimos y por ello en más de una ocasión se ven reflejados comportamientos bastante específicos de la misma: uno de ellos es la delincuencia.
Hace varios años era muy difícil pensar en personas dedicadas en su vida diaria al crimen en internet, se pensaba en "hackers" como 'seres' muy escasos y casi como un mito. Hoy la realidad es más que obvia, no sólo existen hackers, sino toda una plétora de personajes que van desde el clásico joven que hace uso de herramientas escritas por hackers hasta circulos bien organizados que extorsionan empresas por "protección". El robo de información entre empresas como una forma de competencia es algo que a su jefe debería interesarle,
¿Y cómo puede enferntarse una empresa a este tipo de amenazas ?
Algo que hay que tener muy en cuenta es que la seguridad no implica solamente al departamento de Tecnologías de la Información y, que mucho menos, en el caso de seguridad en cómputo, se resuelve con un firewall, ids, antivirus, etc; seguridad es mucho más que eso, seguridad implica un proceso de mejora continua que inicia con una buena planeación.
Luego, una vez que he implementado "Seguridad" en la organización ¿cómo puedo saber que lo he hecho bien? ¿cómo puedo asegurarle a mis clientes que la organización en donde depositan su confianza es segura?
Las respuestas a estas preguntas varian pero en lo personal yo prefiero prefiero una en particular:
*** Estándares políticas y procedimientos ***
¿Qué son y para qué sirven?
simple: son documentos elaborados por organizaciones y personal con amplia experiencia en su campo que han sido aceptados por la comunidad pertinente y que permite establecer, planear, estructurar, adminsitrar, moritorear y mejorar la seguridad en una empresa basada en buenas prácticas. Esto podría parecer irrelevante, pero dígame usted: ¿Qué tanto vale la información contenida en el servidor de su empresa? ¿Podría continuar el funcionamiento de la misma si por ejemplo algún empleado clave borrara por error la base de datos?
Existen infinidad de estándares, de los que hablaré en mis siguientes entradas, por el día de hoy solo mencionaré algunos y poco a poco lo iré describiendo uno por uno:
* ISO 27001 un estándar propuesto por la ISO/IEC certificable que indica las medidas de seguridad mínimas para un Sistema de Gestión de Seguridad de la Información, lleva varios años en vigor y es uno de los estándares más socorridos en la jerga de seguridad informática.
* COBIT es un marco de trabajo mantenido por ISACA, enfocado a altos directivos e incrustado en el proceso adminsitrativo, está muy bien documentado y está pensado para compaginar bien con una certificación ISO 27001. Se divide en 34 procesos divididos en el proceso admisnitrativo y cuenta con una descripción para cumplir cada uno, mas no describe CÓMO lograrlo, tambien hace uso de un método de evaluación que permite conocer el estado actual de la organización con respecto al mercado.
* OCTAVE es mantenido por el CERT y es un enfoque de evaluación de riesgos para empresas y consta de tres estrategias: la evaluación de riesgos en la empresa con un enfoque organizacional; la evaluación de riesgos con un enfoque tecnológico; y finalmente la elaboración de un plan estratégico de protección y un plan de mitigación de riesgos. El ISO 27001 hace mención de un análisis de riesgos, mas no cómo hacerlo, es aquí en donde entra OCTAVE.
Aun faltan aspectos intersantes que poco a poco iremos desglosando, como los planes de continuidad de la organización, planes de recuperación de desastres y otros más.
Si usted hace uso de uan infraestructura de cómputo en su organización y depende de ella para la continuidad de la misma sería prudente pensar en aplicar alguna medida preventiva.
Y dígame:
Cuando baja de su auto, ¿le pone alarma?
rruiz
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario