Hoy en día en un mundo, donde los negocios no tienen fronteras y la mayoría de las actividades desempeñadas por estas las realizan por medios electrónicos, es ideal proteger lo que ahora es unos de los activos materiales para las compañías, hablamos de la información, la cual es almacenada en medios físicos, en la nube (servidores) los cuales si no se tiene las medidas de seguridad tanto preventivas y correctivas, pueden llegar a causar un gran daño en la organización.
Medidas para la protección de la información son la implementacion de estándares como los que ofrece la ISO /IEC 27000, que ayuda a la identificación de los riesgos a los cuales esta sujeto un sistema de información, las medidas de seguridad o controles que se deban imponer para gestionar los riesgos y así mismo poder medir la eficacia de los mismos, todo con el objetivo de prevenir incidentes y generar planes de acción en caso de contingencias.
Dentro de la norma esta en la primera parte el contenido teórico, conceptual, y una aproximación al contenido de la norma, ademas de como implementar planes de mejora continua. Estas normas son aplicables a todas las organizaciones independientemente de sus tamaño o sector económico, en su contenido se ve como establecer, implementar, operar, supervisar, monitorear y mejorar el sistema de gestión de seguridad informática, así mismo indica los componentes del sistema, la documentación requerida para mantener funcional el sistema.
Ademas la norma contiene guías de buenas practicas ( Dominios, áreas de actuación, casos, principios, controles, objetivos), las normas que deben seguir las entidades que hagan la certificación como las firmas de auditoria.
Estas normas son de uso voluntario pero actualmente muchas compañías las implementan para certificar que sus procesos son realizados con calidad, eficiencia y seguridad; en la medida que mayor numero de empresas implementen las normas, menor serán los riesgos a los cuales se vean expuestas las empresas, y mayor confluencia habrán entre las mismas ya que estarán operando bajo parámetros similares.
Existen portales Web que ayudar evaluar el sistema de seguridad que posee una compañía, da pautas y recomendaciones en cuanto a las fallas del sistema. La prueba se realiza en base a una encuesta que esta en http://www.informatica2k.com/cuestionario-seguridad-informatica-empresa.html.
Posteriormente a realizar la encuesta emite un informe así:
(Tomado de http://www.informatica2k.com/resultados-seguridad-informatica-empresa.asp , mayo 22 de 2015)
Una ves obtenemos el resultado debemos poner en marcha los planes de acción necesarios y con el soporte normativo (ISO/IEC 27000) dispuesto en materia de seguridad informatica, para atender a las fallas que tenemos dentro del sistema.
Es importante también que se cuente con medidas de seguridad como los antivirus, firewall, cryptografia, administración de usuarios, etc., ya que así se puede restringir el acceso a la información en los sistemas que posea una organización, con ellos podemos garantizar en cierta medida la confidencialidad (solo usuarios autorizados puedan acceder a la información), la integridad (que la información no ha sido manipulada de manera mal intencionada, con fin de fraude inducir al error a otros usuarios) y disponibilidad (la información es accesible siempre que la requieren los usuarios); es posible que los riesgos se presenten de manera externa, vía redes desprotegidas, pero el mayor riesgo se presenta a nivel interno por falta de capacitación de los usuarios en cuanto a la operación del sistema, o de sus controles.
(Tomado de http://www.expresionbinaria.com/la-seguridad-de-informacion-tratada-en-capas/ , mayo 22 de 2015)
No hay comentarios:
Publicar un comentario