La puesta en marcha de una serie de leyes, normas, estándares y prácticas que garanticen la seguridad, confidencialidad y disponibilidad de la información es uno de los principales objetivos que se persiguen al implantar una política de seguridad TI.
Las políticas, desarrolladas dentro de una organización, pueden entenderse como una serie de instrucciones documentadas que indican la manera en que se llevan a cabo determinados procesos dentro de la propia compañía. Para ser más exactos, las políticas enfocadas a la seguridad informática se basan en una serie de principios fundamentales como son, por ejemplo, la responsabilidad individual, autorización, mínimo privilegio, auditoría, separación de obligaciones o redundancia.
El principio relativo a la responsabilidad alude a que cada persona dentro de la organización ha de ser consciente de las consecuencias de sus actos. Lógicamente, todas las actividades, sus resultados, la gente involucrada y recursos requeridos habrán de ser monitoreados desde un principio.
Definir una adecuada política de seguridad TI
Por lo general, la seguridad de los sistemas informáticos se concentra en garantizar el derecho a acceder a datos y recursos del propio sistema, configurando los mecanismos de autentificación y control , que asegurarán el hecho de que estos recursos únicamente posean los derechos que se le han otorgado. Para definir una adecuada política de seguridad TI es necesario seguir una serie de etapas fundamentales. Por un lado, se han de identificar las necesidades de seguridad y los posibles riesgos informáticos que enfrenta a la propia compañía.
Igualmente, se ha de proporcionar una perspectiva general de las propias reglas y procedimientos que deben implementarse para afrontar los diferentes riesgos identificados en los distintos departamentos de la organización. La siguiente etapa consiste en controlar y detectar las vulnerabilidades del propio sistema de información y mantenerse al tanto de los fallos presentes en las aplicaciones y materiales usados. Finalmente, has de definir las acciones previstas y las personas con las que contactarás en caso de amenaza.
La administración de la propia organización ha de encargarse de definir la política de seguridad a seguir y hacerlo con precisión, dado que afecta a todos los usuarios del sistema. Debido a que el administrador informático es la única persona que conoce cómo funciona el sistema, será el encargado de proporcionar información sobre la seguridad de la empresa a sus superiores, así como aconsejar de manera eventual a quienes toman las decisiones con respecto a las estrategias que deben implementarse, además de constituir el punto de entrada de las comunicaciones destinadas a los usuarios en relación a los problemas y recomendaciones de seguridad.
En buena medida, la seguridad informática de una compañía dependerá de que los empleados puedan aprender las reglas a través de sesiones de capacitación y concientización. Sin embargo, de este conocimiento por parte de los empleados, es primordial cubrir ciertas áreas como, por ejemplo, un procedimiento para administrar las actualizaciones, un posible plan de recuperación tras un incidente determinado, un mecanismo de seguridad física y lógica que se pueda adaptar a las necesidades de la compañía, un sistema de documentado actualizado o una estrategia de realización de copias de seguridad (backup).
En Prakmatic somos conscientes de lo importante que son estas políticas, por ello ofrecemos una aproximación pragmática a la seguridad TI de tu compañía. Llámanos y te informaremos en lo que necesites.