 |
||||
| Garantizar que los datos e información general de una organización estén en condiciones que permitan su disponibilidad inmediata cuando así se lo requiera, es el objetivo del Sistema de Seguridad de la Información. En términos generales, la seguridad puede entenderse como el conjunto de reglas, técnicas y gestiones destinadas a prevenir, proteger y resguardar lo que es considerado suceptible de robo, pérdida o engaño. Para Jorge Olaya Tapia, catedrático de la maestría en Seguridad Informática aplicada de la Espol, el mayor tema en el que hay que concentrarse es en cambiar la cultura de la organización respecto a la seguridad de la información. Para el experto, miembro de la internacional de Information Systems Audit and Control Association y de la Association of Certified Fraud Examiners, en estos días existen un conjunto de normas ISO que las organizaciones deberían implementar para mejorar la seguridad de la empresa; que no está solo a cargo del área de computación sino distribuida en toda la organización. |
El riesgo puede ser generado a través de computadores portátiles que utilizan los ejecutivos o en los celulares de algunos ejecutivos que procesan información importante relevante en Word, Power Point y Excel. Esas referencias, asegura, son las que más podría interesar a los hackers, porque son datos sintetizados, sumarizados y listos para su utilización. "Ahí tenemos por ejemplo la lista de los 10 clientes más importantes, las estrategias con que se va a arrancar este año, las campañas de marketing ya diseñadas, lo que usualmente no esta en el computador central pero es trascendental en la organización", explica. Por ello sugiere trabajar en tres puntos. El primero es sensibilizar a los ejecutivos de la organización en torno al tema de seguridad; posteriormente se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales. Este punto, añade, es recomendable que se escoja a un consultor independiente. |
Finalmente debe elaborarse un plan de seguridad que esté a cargo del área de administración de seguridad de la información y no del departamento de computación o informática. El experto comenta que estudios respecto a la seguridad de información indican que las empresas anualmente presentan entre un 5% y 7% de pérdidas económicas por fraudes mediante el manejo inadecuado de la información, lo que en una empresa que genera 10 millones de dólares al año representará una fuga de 500.000 dólares. Esa cifra, sostiene, justifica entonces que el presupuesto de la organización contemple un porcentaje para el sistema de seguridad. Así mismo, hace énfasis en que este programa interno vaya acompañado de un plan de gestión de los incidentes donde los miembros puedan informar incidentes si descubren que alguien esta violando las políticas de seguridad. Para el experto del MSIA, si los colaboradores no comprenden la importancia de su rol para administrar y mejorar la seguridad de la información, se evadirán procesos que ocasionarán riesgos a la empresa, lo que evidenciará vulnerabilidad y una falta de credibilidad de los clientes, un riesgo más costoso aún. |
||