Ocho claves para el éxito de un plan de seguridad
Hoy más que nunca, la información es el principal recurso de las empresas. Por ello, garantizar su disponibilidad de un modo fiable y seguro en cualquier momento es clave para el negocio.
La seguridad de la información aparece como concepto global que abarca todos los frentes de la empresa y que hay que contemplar desde tres distintos frentes: protección, fiabilidad y continuidad. Al proteger la información y los sistemas de la empresa, garantizamos su integridad de pérdidas accidentales, robos o daños maliciosos. La seguridad de la información implica además garantizar un acceso fiable a ella en el momento en que sea necesario.
Finalmente, de nada valdrán todas estas precauciones si no se planifica la continuidad de los sistemas cuando sucede algo inesperado fruto de un accidente, una acción malintencionada o una catástrofe natural.
En el entorno económico actual, la información es tan importante que su protección significa poner a salvo el propio negocio. Por tanto, su seguridad no supone un problema y un reto sólo para el departamento TI de la empresa, sino para toda la dirección ejecutiva y, en último término, para toda la plantilla. Un plan global de esta naturaleza debería comprender los siguientes pasos:
1. Desarrollar una política de seguridad de la información. Una política de seguridad debe, en primer lugar, contar con el apoyo y compromiso de toda la dirección senior, y ser comunicada a todos los empleados e incluida como una de sus responsabilidades en cualquier tipo de relación contractual entre empresa y trabajadores. Esta política ha de clasificar los diferentes tipos de información y establecer, en función de la naturaleza de cada uno de ellos, las directrices básicas para su gestión y tratamiento en aspectos como almacenamiento, backup o accesibilidad. Conviene también establecer periodos fijos para su revisión formal por la dirección y el departamento de TI.
2. Desarrollar los procesos necesarios para implementar y mantener la política. Es conveniente que un gestor senior a nivel de dirección asuma la responsabilidad de garantizar que los requerimientos de seguridad se asignan a las áreas relevantes del negocio. Si no hay nadie en la organización que conozca y comprenda todos las cuestiones relacionadas con la seguridad, se puede acudir a la ayuda externa. En cualquier caso, cada área del negocio ha de contar con un responsable de seguridad encargado de los aspectos directamente relacionados con su actividad principal, desde la seguridad de las TI a la seguridad física. Asimismo, hay que asegurarse de que también conocen las reglas de seguridad los externos al negocio que tienen acceso a información parcial de la empresa, como proveedores o socios.
3. Conservar y mantener los activos físicos y los datos. Es preciso crear y mantener actualizado un inventario de activos que incluya el software y los recursos de información de negocio. Asimismo, se ha de valorar cada activo y clasificar la información en función de su importancia y sensibilidad para el negocio, según lo establecido en la política de seguridad.
4. Asignar las personas más adecuadas a cada tarea. Todos los empleados de la empresa han de tener claras sus responsabilidades respecto de la seguridad, así como de las consecuencias de no seguir la política corporativa. También es imprescindible asignar las responsabilidades y procedimientos para tratar con los incidentes de seguridad, dando formación adicional a los empleados cuando sea necesario. Asimismo, las responsabilidades deben quedar claras para los externos que tengan acceso a información crítica del negocio mediante, por ejemplo, acuerdos de confidencialidad.
5. Cumplimiento normativo. Cada vez es más crucial para las empresas cumplir con las normativas generales y sectoriales, tanto nacionales como de la Unión Europea, especialmente en lo que afecta al uso y almacenamiento de software y la información de negocio. En particular, resulta crítico garantizar la protección de la información personal sobre clientes y empleados, y la retención adecuada de los registros de negocio con propósitos de auditoría, así como la protección del material bajo licencia o con copyright contra usos no autorizados. Hay que tener en cuenta que infringir las regulaciones podría acarrear graves sanciones.
6. No olvidar las medidas de seguridad más básicas. Es imprescindible tomar medidas para controlar el acceso a la información de negocio, ya sea electrónica o en formato físico, haciéndola inaccesible sin autorización, y controlando incluso a las personas que acceden a las instalaciones de la empresa. Por otra parte, conviene garantizar que todo el equipamiento que contenga información crítica para las operaciones de negocio está protegido con fuentes de alimentación y conexiones de datos redundantes, así como el uso de contraseñas.
7. Planificar la continuidad del negocio. La puesta en marcha del mejor plan de seguridad no puede nunca garantizar que no se producirán circunstancias imprevistas. Por ello, es necesario mantener sistemas de backup de la información crítica y del almacenamiento en instalaciones alternativas, así como tener previsto el acceso al hardware necesario para, en caso de que se produzca cualquier incidencia fortuita, volver a la actividad lo antes posible. Un plan de seguridad en este sentido debe incluir la realización de forma regular de pruebas de continuidad de negocio.
8. Gestionar la seguridad de TI y comunicaciones. Este último paso, imposible sin los anteriores, es un componente clave de la seguridad de la información corporativa. Incluye la protección contra el software malicioso y las intrusiones no autorizadas, así como establecer y revisar regularmente políticas que controlen los derechos de acceso a los sistemas de información y su eliminación cuando un empleado abandona la empresa, sin olvidar la gestión de las contraseñas de usuario. Asimismo, es preciso crear políticas que regulen el uso aceptable del correo electrónico y otras aplicaciones Internet, además de gestionar los derechos digitales y el filtrado de contenidos, protegiéndose contra descargas e instalación de software no aprobado por la empresa. También es necesario proteger la información sensible mediante encriptación y la definición de políticas de acceso remoto. Finalmente, hay que garantizar el backup de toda la información crítica en instalaciones alternativas, con independencia del tipo de sistemas donde resida, ya sean servidores, equipos de sobremesa o cualquier otro tipo de dispositivo.
En definitiva, como se desprende de los pasos comentados, las TI deberían ser sólo parte de una visión global de la seguridad de la información que alcance a todos los frentes del negocio.
¿Está segura su información empresarial?
-----------------------------------------------------------
Aunque la seguridad de la información es una cuestión clave que afecta a todos los aspectos del negocio, para muchas empresas puede resultar compleja, especialmente cuando no disponen de la ventaja de contar con el asesoramiento de un experto en esta materia. Por eso muchas veces resulta difícil saber por dónde empezar. Ser consciente de los riesgos es un primer paso, pues algunas empresas no saben que tienen un problema de seguridad hasta que ya es demasiado tarde. Para estar a salvo de estos incid
La seguridad de la información aparece como concepto global que abarca todos los frentes de la empresa y que hay que contemplar desde tres distintos frentes: protección, fiabilidad y continuidad. Al proteger la información y los sistemas de la empresa, garantizamos su integridad de pérdidas accidentales, robos o daños maliciosos. La seguridad de la información implica además garantizar un acceso fiable a ella en el momento en que sea necesario.
Finalmente, de nada valdrán todas estas precauciones si no se planifica la continuidad de los sistemas cuando sucede algo inesperado fruto de un accidente, una acción malintencionada o una catástrofe natural.
En el entorno económico actual, la información es tan importante que su protección significa poner a salvo el propio negocio. Por tanto, su seguridad no supone un problema y un reto sólo para el departamento TI de la empresa, sino para toda la dirección ejecutiva y, en último término, para toda la plantilla. Un plan global de esta naturaleza debería comprender los siguientes pasos:
1. Desarrollar una política de seguridad de la información. Una política de seguridad debe, en primer lugar, contar con el apoyo y compromiso de toda la dirección senior, y ser comunicada a todos los empleados e incluida como una de sus responsabilidades en cualquier tipo de relación contractual entre empresa y trabajadores. Esta política ha de clasificar los diferentes tipos de información y establecer, en función de la naturaleza de cada uno de ellos, las directrices básicas para su gestión y tratamiento en aspectos como almacenamiento, backup o accesibilidad. Conviene también establecer periodos fijos para su revisión formal por la dirección y el departamento de TI.
2. Desarrollar los procesos necesarios para implementar y mantener la política. Es conveniente que un gestor senior a nivel de dirección asuma la responsabilidad de garantizar que los requerimientos de seguridad se asignan a las áreas relevantes del negocio. Si no hay nadie en la organización que conozca y comprenda todos las cuestiones relacionadas con la seguridad, se puede acudir a la ayuda externa. En cualquier caso, cada área del negocio ha de contar con un responsable de seguridad encargado de los aspectos directamente relacionados con su actividad principal, desde la seguridad de las TI a la seguridad física. Asimismo, hay que asegurarse de que también conocen las reglas de seguridad los externos al negocio que tienen acceso a información parcial de la empresa, como proveedores o socios.
3. Conservar y mantener los activos físicos y los datos. Es preciso crear y mantener actualizado un inventario de activos que incluya el software y los recursos de información de negocio. Asimismo, se ha de valorar cada activo y clasificar la información en función de su importancia y sensibilidad para el negocio, según lo establecido en la política de seguridad.
4. Asignar las personas más adecuadas a cada tarea. Todos los empleados de la empresa han de tener claras sus responsabilidades respecto de la seguridad, así como de las consecuencias de no seguir la política corporativa. También es imprescindible asignar las responsabilidades y procedimientos para tratar con los incidentes de seguridad, dando formación adicional a los empleados cuando sea necesario. Asimismo, las responsabilidades deben quedar claras para los externos que tengan acceso a información crítica del negocio mediante, por ejemplo, acuerdos de confidencialidad.
5. Cumplimiento normativo. Cada vez es más crucial para las empresas cumplir con las normativas generales y sectoriales, tanto nacionales como de la Unión Europea, especialmente en lo que afecta al uso y almacenamiento de software y la información de negocio. En particular, resulta crítico garantizar la protección de la información personal sobre clientes y empleados, y la retención adecuada de los registros de negocio con propósitos de auditoría, así como la protección del material bajo licencia o con copyright contra usos no autorizados. Hay que tener en cuenta que infringir las regulaciones podría acarrear graves sanciones.
6. No olvidar las medidas de seguridad más básicas. Es imprescindible tomar medidas para controlar el acceso a la información de negocio, ya sea electrónica o en formato físico, haciéndola inaccesible sin autorización, y controlando incluso a las personas que acceden a las instalaciones de la empresa. Por otra parte, conviene garantizar que todo el equipamiento que contenga información crítica para las operaciones de negocio está protegido con fuentes de alimentación y conexiones de datos redundantes, así como el uso de contraseñas.
7. Planificar la continuidad del negocio. La puesta en marcha del mejor plan de seguridad no puede nunca garantizar que no se producirán circunstancias imprevistas. Por ello, es necesario mantener sistemas de backup de la información crítica y del almacenamiento en instalaciones alternativas, así como tener previsto el acceso al hardware necesario para, en caso de que se produzca cualquier incidencia fortuita, volver a la actividad lo antes posible. Un plan de seguridad en este sentido debe incluir la realización de forma regular de pruebas de continuidad de negocio.
8. Gestionar la seguridad de TI y comunicaciones. Este último paso, imposible sin los anteriores, es un componente clave de la seguridad de la información corporativa. Incluye la protección contra el software malicioso y las intrusiones no autorizadas, así como establecer y revisar regularmente políticas que controlen los derechos de acceso a los sistemas de información y su eliminación cuando un empleado abandona la empresa, sin olvidar la gestión de las contraseñas de usuario. Asimismo, es preciso crear políticas que regulen el uso aceptable del correo electrónico y otras aplicaciones Internet, además de gestionar los derechos digitales y el filtrado de contenidos, protegiéndose contra descargas e instalación de software no aprobado por la empresa. También es necesario proteger la información sensible mediante encriptación y la definición de políticas de acceso remoto. Finalmente, hay que garantizar el backup de toda la información crítica en instalaciones alternativas, con independencia del tipo de sistemas donde resida, ya sean servidores, equipos de sobremesa o cualquier otro tipo de dispositivo.
En definitiva, como se desprende de los pasos comentados, las TI deberían ser sólo parte de una visión global de la seguridad de la información que alcance a todos los frentes del negocio.
¿Está segura su información empresarial?
-----------------------------------------------------------
Aunque la seguridad de la información es una cuestión clave que afecta a todos los aspectos del negocio, para muchas empresas puede resultar compleja, especialmente cuando no disponen de la ventaja de contar con el asesoramiento de un experto en esta materia. Por eso muchas veces resulta difícil saber por dónde empezar. Ser consciente de los riesgos es un primer paso, pues algunas empresas no saben que tienen un problema de seguridad hasta que ya es demasiado tarde. Para estar a salvo de estos incid
