CONCLUSIONES Y RECOMENDACIONES. Dentro de las principales conclusiones y recomendaciones más importantes tenemos:

Tamaño: px

Comenzar la demostración a partir de la página:

Download "CONCLUSIONES Y RECOMENDACIONES. Dentro de las principales conclusiones y recomendaciones más importantes tenemos:"

Josefina San Segundo Torregrosa
hace 7 años
Vistas:

CONCLUSIONES Y RECOMENDACIONES Dentro de las principales conclusiones y recomendaciones más importantes tenemos: Para nadie es un secreto la importancia de implementar un programa completo de

1 CONCLUSIONES Y RECOMENDACIONES Dentro de las principales conclusiones y recomendaciones más importantes tenemos: Para nadie es un secreto la importancia de implementar un programa completo de seguridad de la información. Sin embargo, crear un programa de seguridad con componentes "bloqueadores de cookies" rara vez produce resultados efectivos. Lo más efectivo es utilizar una metodología comprobada que diseñe el programa de seguridad con base en las necesidades de su empresa, recuerde cada empresa es diferente. La clave para desarrollar con éxito un programa efectivo de seguridad de la información consiste en recordar que las políticas, estándares y procedimientos de seguridad de la información son un grupo de documentos interrelacionados. La relación de los documentos es lo que dificulta su desarrollo, aunque es muy poderosa cuando se pone en práctica. Muchas organizaciones ignoran esta interrelación en un esfuerzo por simplificar el proceso de desarrollo. Sin embargo, estas mismas relaciones son las que permiten que las organizaciones exijan y cumplan los requerimientos de seguridad. Por qué las organizaciones necesitan una Política de Seguridad de la Información? Por lo general se argumenta que las organizaciones requieren una Política de Seguridad de la Información para cumplir con sus "requerimientos de seguridad de la información". Ciertamente, muchas organizaciones no tienen requerimientos de seguridad de la información

2 como tal, sino que tienen necesidades empresariales que deben desarrollar e implementar. Las empresas, especialmente las compañías cotizadas en bolsa y las organizaciones gubernamentales, están sujetas a las reglamentaciones operacionales de los gobiernos estatales y locales, así como de los organismos que reglamentan la industria. En el caso de las compañías cotizadas en bolsa, los funcionarios corporativos deben ser diligentes en sus operaciones y tener responsabilidad fiduciaria ante los accionistas - estas estipulaciones jurídicas requieren efectivamente que la organización proteja la información que utiliza, a la que tiene acceso o que crea para que la compañía opere con eficiencia y rentabilidad. Entonces surge la necesidad de proteger la información la necesidad no es académica, ni es creada por los "genios técnicos" que buscan justificar su existencia en la organización. La seguridad de la información siempre requiere inversión adicional? Las empresas podrían o no necesitar más recursos, esto depende del enfoque adoptado por la organización para el desarrollo de las políticas. Una Política de Seguridad de la Información generalmente exige que todos en la organización protejan la información para que la empresa pueda cumplir con sus responsabilidades reglamentarias, jurídicas y fiduciarias. Se usa mal y con frecuencia las palabras "generalmente" y "proteger" para justificar mayor inversión cuando no es necesaria. Esto puede parecer contrario a la intuición, pero la inversión adicional para proteger la información no siempre garantiza el éxito. Pero si es recomendable tener un presupuesto asignado para cumplir con estos fines. Para evaluar las necesidades de inversión, debe consultar estas "reglas" en orden secuencial:

3 Regla Nº 1: Saber qué información tiene y donde se encuentra. Regla Nº 2: Saber el valor de la información que se tiene y la dificultad de volverla a crear si se daña o pierde. Regla Nº 3: Saber quiénes están autorizados para acceder a la información y que pueden hacer con ella. Regla Nº 4: Saber la velocidad con que puede acceder a la información si no está disponible por alguna razón (por pérdida, modificación no autorizada, etc.) Estas cuatro reglas son aparentemente simples. Sin embargo, las respuestas permitirán el diseño e implementación de un programa de protección a la información puesto que las respuestas pueden ser muy difíciles. No toda la información tiene el mismo valor y por lo tanto no requiere el mismo nivel de protección (con el costo que implica). Es clave entender por qué se necesita proteger la información, desde un punto de vista comercial es clave determinar la necesidad de tener una Política de Seguridad de la Información. Para ello, se necesitara saber cuál es la información y en donde se encuentra para que pueda proceder a definir los controles que se necesitan para protegerla. Características principales de una Política de Seguridad de la Información: Debe estar escrita en lenguaje simple, pero jurídicamente viable Debe basarse en las razones que tiene la empresa para proteger la información Debe ser consistente con las demás políticas organizacionales

4 Debe hacerse cumplir - se exige y mide el cumplimiento Debe tener en cuenta los aportes hechos por las personas afectadas por la política Debe definir el papel y responsabilidades de las personas, departamentos y organizaciones para los que aplica la política No debe violar las políticas locales, estatales Debe definir las consecuencias en caso de incumplimiento de la política Debe estar respaldada por documentos "palpables", como los estándares y procedimientos para la seguridad de la información, que se adapten a los cambios en las operaciones de las empresas, las necesidades, los requerimientos jurídicos y los cambios tecnológicos. Debe ser aprobada y firmada por el gerente general de la organización. No obtener este compromiso significa que el cumplimiento de la política es opcional - situación que hará que fracase las políticas de protección de la información. Redactar una política para la seguridad de la información puede ser sencillo comparado con su implementación y viabilidad. La política organizacional y las presiones por lo general aseguran que habrá dificultad y consumo de tiempo para crear y adoptar una Política de Seguridad de la Información, a menos que un "líder fuerte" dirija el programa de políticas. Esta persona generalmente es un "político", una persona influyente, un facilitador y sobretodo una persona que sepa

5 escuchar, para que pueda articular y aclarar las inquietudes y temores de las personas respecto a la introducción de una nueva política.

Documentos relacionados

GOBIERNO SOCIETARIO DESAFÍOS PARA LA REGION Y LAS PEQUEÑAS Y MEDIANAS EMPRESAS

GOBIERNO SOCIETARIO DESAFÍOS PARA LA REGION Y LAS PEQUEÑAS Y MEDIANAS EMPRESAS 12 DE SEPTIEMBRE DE 2011 COMUNICACIÓN A 5201 09/05/2011 Lineamientos para el gobierno societario en entidades financieras