Gestión de la seguridad de la información
En la actualidad, cada vez menos las inversiones en seguridad que realizan las empresas se están destinando exclusivamente a la compra de productos, sino que comienzan a dotar parte de su presupuesto para destinarlo a la gestión de la seguridad de la información. El concepto de seguridad ha variado, acuñándose un nuevo concepto: “seguridad gestionada”, que ha desbancado al de “seguridad informática”. Las medidas que comienzan a tomar las empresas giran en torno al nuevo concepto de gestión de la seguridad de la información. Éste tiene tres vertientes técnica, legal y organizativa, es decir un planteamiento coherente de directrices, procedimientos y criterios que permiten desde la dirección de las empresas asegurar la evolución eficiente de la seguridad de los sistemas de Información, la organización afín y sus infraestructuras. Para gestionar la seguridad de la información de una entidad se debe partir de una premisa fundamental y es que “la seguridad absoluta no existe”.
Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa."
Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Un sistema integral debe contemplar:
•Definir elementos administrativos
•Definir políticas de seguridad
•A nivel departamental
•A nivel institucional
•Organizar y dividir las responsabilidades
•Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
•Definir prácticas de seguridad para el personal:
•Plan de emergencia (plan de evacuación, uso de recursos de emergencia como extinguidores.
•Números telefónicos de emergencia
•Definir el tipo de pólizas de seguros
•Definir elementos técnicos de procedimientos
•Definir las necesidades de sistemas de seguridad para:
•Hardware y software
•Flujo de energía
•Cableados locales y externos
•Aplicación de los sistemas de seguridad incluyendo datos y archivos
•Planificación de los papeles de los auditores internos y externos
•Planificación de programas de desastre y sus pruebas (simulación)
•Planificación de equipos de contingencia con carácter periódico
•Control de desechos de los nodos importantes del sistema:
•Política de destrucción de basura copias, fotocopias, etc.
•Consideración de las normas ISO 14000
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
· El plan de seguridad debe asegurar la integridad y exactitud de los datos
· Debe permitir identificar la información que es confidencial
· Debe contemplar áreas de uso exclusivo
· Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
· Debe asegurar la capacidad de la organización para sobrevivir accidentes
· Debe proteger a los empleados contra tentaciones o sospechas innecesarias
· Debe contemplar la administración contra acusaciones por imprudencia
Haz un reporte de lectura acerca del tema.
No hay comentarios:
Publicar un comentario