arrow - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Gente: crucial para la estrategia de seguridad TI en Brasil

En Brasil las personas juegan un papel importante para una correcta gestión de la seguridad de la información empresarial. He aquí algunos errores que evitar al respecto.

Cuando uno piensa de dónde provienen las mayores fallas de seguridad en la información dentro de las empresas, surgen un común denominador: las personas.

Muchos de los riesgos son generados por acciones u omisiones que podrían ser resueltos mediante un seguimiento de los indicadores básicos que deben estar establecidos dentro de la política interna de seguridad, de tal forma que se adecúen a los procesos que la gente realiza.

Un estudio realizado recientemente por la empresa Cisco demostró el comportamiento de los usuarios frente a la seguridad de la información, tanto dentro como fuera de las empresas, con particular atención al nivel de adherencia de las políticas de seguridad corporativa y en el conocimiento o ignorancia de las principales amenazas.

Dentro de las principales conclusiones que el estudio señala como amenazas internas para las empresas, se cita primeramente la relación entre las personas; esto es un punto débil dentro de la cadena de la seguridad de la información y es un riesgo que se torna cada día más constante, si se le agrega la falta de conciencia o el total desconocimiento de las amenazas.

En segundo lugar se ubican las tentativas de acceso por terceros, lo que se conoce más comúnmente como ataques de hackers.

El estudio reveló que los usuarios esperan que los mecanismos implementados por las empresas se ocupen de garantizar completamente la seguridad en el proceso de seguridad. En este escenario fue verificado que muchas empresas no contaban con políticas de seguridad con el rigor necesario, y en consecuencia, algunas personas optan por la falta de control, por no cumplir las políticas y utilizan de forma frecuente las redes corporativas para la realización de transacciones personales, como el uso de la banca electrónica, compras en línea, reservas de viajes o el uso de redes sociales, facilitando de esta manera el acceso a diversos puertos de entrada y comprometiendo en muchos casos los datos privados de las empresas.

Independientemente de ser externas o internas, la realidad es que todas la amenazas causan riesgos para las empresas y que se pueden presentar de diversas formas, desde compartir una contraseña, el espionaje, uso de la tecnología para obtener información confidencial que genera el robo de datos sensibles e incluso en procesos no intencionales, como un simple error en el uso de una aplicación o una herramienta, hasta una mayor ruptura en la estructura de la seguridad de la información, como la mala configuración de los servidores o la falta de programas de seguridad de los datos.

En Brasil es necesario que las empresas efectúen un riguroso control de los recursos, como está definido por el sistema de Gestión de Seguridad (Sistema de Gestão de Segurança ABNT NBR ISO/IEC 27001:2013) que debería de ser utilizado como directriz para todas las empresas, no importando su tamaño, y complementado con auditorias en las estructuras y sistemas de información. La realidad es que no siempre es así.

Y es que aún cuesta entender que la seguridad de la información no debe ser considerada una acción que afecte a la empresa, y sí una inversión que reduce riesgos y otorga beneficios.

Las normas y el sentido común establecen que las decisiones deben ser tomadas y fundamentadas mediante análisis cualitativos de riesgo. De esta forma las medidas, funcionalidades y eficacia de las medidas preventivas y correctivas podrán ser evaluadas para la reducción, transferencia, aceptación o eliminación de los riesgos en el proceso.

El mantenimiento del proceso de seguridad de la información es efectivamente alto, sin embargo, no invertir en ella podría acarrear un costo mucho mayor, con consecuencias que resulten en la pérdida de las operaciones del negocio o incluso de la propia reputación.

Como las personas son también uno de los mayores riesgos para el proceso, la alternativa más viable y económica es la preparación y concientización de ellas; punto fácil de identificar, pero difícil de lograr si las empresas no cambian hábitos y siguen reglas definidas tanto por el gobierno como por sus administración interna.

Errores a evitar en la seguridad de la información

Considerar los gastos en seguridad como innecesarios

Es evidente que toda operación para implementar la seguridad de la información tiene costos, pero eso no debe ser considerado como un gasto más, sino como algo que traerá retorno real para la organización. Si se desea proteger la información y resguardar los datos, invertir en TI es un medio de evitar serios prejuicios financieros futuros debido a las correcciones.

Privilegiar el acceso de determinados empleados

Una buena política de seguridad en conjunto con una solución de seguridad especializada debe limitar y definir el acceso de usuarios a determinada información. El uso de contraseñas es uno de los principales medios de defensa. Otra forma de evitar la invasión de la privacidad es establecer la entrada en el sistema de los usuarios de acuerdo con el papel que desempeña, es decir, cada uno de ellos tendrá acceso a la información que sea realmente relevante para su sector de trabajo.

No tener control sobre los cambios en el sistema

La propia dinámica de la industria de TI obliga a las empresas a realizar constantes innovaciones en sus sistemas informáticos. Sin embargo, es esencial que tales cambios se registren correctamente para evitar errores que normalmente se gestan por la falta de documentación, y de la misma forma debe informarse a los usuarios. Cada cambio realizado en el ámbito interno debe ser registrado y transmitido, de esta forma se aumentan las probabilidades de garantizar la seguridad y la productividad de la compañía.

No concientizar a los usuarios

Entre los errores más comunes de la gestión de seguridad de la información, se ubica la falta de cooperación por parte de los que trabajan dentro de una organización. Para asegurar el correcto control se debe considerar a todos los involucrados en el sistema de seguridad y resaltar que cada uno de ellos es parte importante del buen funcionamiento de la empresa.

No seguir las tendencias del mercado

A medida que evoluciona una organización, es necesario que también siga el desarrollo del mercado, ajustando sus sistemas de seguridad a las nuevas normas, tecnologías y software.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close