Escolar Documentos
Profissional Documentos
Cultura Documentos
Slo que en este anlisis no se debe olvidar considerar tanto infraestructura como
procesos y personal. En el mapa de riesgos debe ubicarse, por ejemplo, qu
personas no tienen los conocimientos suficientes como para operar los sistemas
sin comprometerlos o quines son negligentes o descuidados, afirma Francisco
Puente, CEO de GCP Global.
Ms an, agrega, habra que incluir en las pruebas a los candidatos a ingresar a la
empresa alguna para conocer su nivel de cultura de proteccin.
Todo esto, con la idea de generar un modelo visual del mapa de riesgos de la
empresa, en donde se considere todo lo crtico y no slo las cuestiones de
infraestructura.
Pero eso no es todo, para redondear esta mejor prctica conviene, adems, no
olvidarse de cuantificar los riesgos y exponer a los directores cul sera la prdida
potencial de los activos frente a las posibles amenazas. Algo que adems de
poner en alerta a la alta direccin sobre los peligros y su impacto, ayudar a
justificar la inversin solicitada para la estrategia de proteccin.
Por eso es conveniente buscar esta alineacin con el negocio, as como tambin
lo es fijar al plan de proteccin un ciclo de vida y basarlo en estndares,
recomienda Juan Jos Gutirrez, director del programa ejecutivo de seguridad de
Gartner en Mxico.
Pero ojo, las polticas que se establezcan deben ser flexibles, cuando as
convenga, para no entorpecer el funcionamiento de la organizacin ni afectar el
trabajo de los usuarios internos.
Claro que en todo esto se debe incluir no slo a los empleados internos, sino
tambin a todos aquellos terceros con quienes la empresa intercambia informacin
o procesos.
5. Capacitar para asegurar. Los entrevistados coinciden en que hoy una de las
mejores prcticas es educar y capacitar a los miembros de la organizacin
respecto a las amenazas y a la conveniencia de acatar las polticas de proteccin
para no abrir vulnerabilidades.
Sin embargo, el CEO de GCP Global subraya que esto no se logra organizando
campaitas generales de concientizacin, es necesario ir mucho ms all.
Entre quienes se identific (en el anlisis previo de la situacin general de la
organizacin) que son personal de riesgo, por su falta de cultura de seguridad o su
negligencia, es necesario iniciar una labor de concientizacin. En cuanto a
aquellos que tienen acceso a informacin crtica para el negocio, lo ms adecuado
es brindarles la capacitacin necesaria respecto a cmo manejarla.
En este sentido, Lira opina que lo correcto es empezar con las reas y personas
de mayor riesgo, debido a la informacin que manejan, y tener un nfasis
constante en ellas. Despus hay que irse a la concientizacin a nivel compaa,
porque de una u otra forma todos tienen acceso a datos, aunque lo conveniente es
avanzar por grupos o reas e incorporar el tema de seguridad en los cursos de
induccin, para incluir a los nuevos empleados.
Adems, hay que considerar que las plticas y cursos no son la nica forma de
transmitir las polticas ni de educar a los empleados. Se pueden enviar mensajes
en protectores de pantalla, a travs de la intranet, etctera.
Sin embargo, ya sea que se opte por implementar un DRP completo y en forma o
haya que respaldar slo algunos componentes, incluso en el mismo edificio,
conviene considerar ciertos factores para no toparse despus con sorpresas.
Unos de estos aspectos son: validar que los sistemas de contingencia funcionan
adecuadamente y estn actualizados, as como comprobar que los procesos y la
informacin se pueden recuperar.
Algo que tampoco se debe pasar por alto en todo esto es alcanzar los niveles de
servicio esperados por la direccin en los sistemas y procesos recuperados, as
como tener bien establecido el tiempo tolerable por la directiva para tener fuera un
sistema o proceso.
As se hace en Alestra
Ricardo Morales, gerente de seguridad de informtica e implementacin de
servicios menciona que en esta compaa se utilizan mejores prcticas como: plan
de continuidad del negocio; anlisis de riesgo y mtricas que se monitorean y
pasan por auditoras.
Adems existe en la empresa un comit de seguridad, con validez oficial sobre
aprobaciones, cuyas juntas ordinarias se realizan de forma bimestral con el fin de
evaluar el seguimiento de los proyectos de proteccin, tipos de vulnerabilidades y
manejo de incidentes.
Por otra parte, los objetivos del negocio y los de seguridad tienen tal alineacin,
que la direccin general y el mencionado comit han dado su total aval al sistema
de proteccin.
Asimismo, la capacitacin del personal respecto al tema de seguridad se
considera aqu algo crtico, adems dentro de las auditoras se verifica que
quienes operan los sistemas lo hagan de la forma correcta.
Interpretacin de las buenas practicas
Identificar qu porcentaje del personal esta consiente de que los datos que
manejan deben ser protegidos, y tambin que porcentaje no tiene muy claro este
concepto en base a esto implementar platicas o capacitaciones para recordarles
que el objetico de la empresa y as mismo crear conciencia al personal de que la
informacin se debe proteger.
Por ultimo tener en cuenta un plan, en caso de que ocurra algn incidente que
ocasione perdida de informacin, en este caso sera tener un respaldo en un
servidor que contenga la informacin ms importante. Verificar que en realidad
todo est funcionando bien y que la informacin est segura.