martes, 22 de abril de 2008

Control y Seguridad de la Información en la empresa


Hoy martes apareció un artículo en El Mercurio sobre Robo de información confidencial: la mitad de los ataques los cometen los mismos empleados . Este tema viene a reafirmar lo que hemos mencionado en post anteriores. Nuestra cultura como trabajadores no nos permite ver las dificultades y errores que podemos llegar a cometer al no cumplir con las exigencias de seguridad de la organización, la obligación de seguridad es una tarea que le corresponde a todo el personal de la empresa y el responsable de la seguridad no es el departamento de informática sino que debe existir una entidad que controle, capacite y comunique las medidas de seguridad y para que esta unidad tenga validez, debe depender de la Gerencia General y tenga un pleno reconocimiento para el resto de los departamentos.
Las principales falencias están dadas por los hábitos de los propios ejecutivos. La utilización de dispositivos móviles y el traspaso de información interna presentan un peligro latente para las organizaciones. Hay ejecutivos con más privilegios de lo que requieren. Dado que la gente va cambiando de rol adentro de la organización, van acumulando accesos a información que no necesitan y que, eventualmente, pueden utilizar de forma indebida.
Son diversas las áreas que pueden estar en riesgos, estos temas los vemos desde el acceso a base de datos uno de los activos más importante de toda organización, también en los programas informáticos que pueden ser estratégicos para el giro del negocio, una herramienta de esta naturaleza puede jugar a favor o en contra de una empresa en la competencia de un determinado mercado. ¿Qué ocurre si contrata el desarrollo de un software y no toma las medidas de control y aparece en la competencia? Su ventaja como empresa desaparece. Para aminorar estos riesgos es necesario tomar las medidas de acción que impiden o amedrenten a los empleados a cometer acciones que pueden perjudicar los activos de las empresas, pero insisto que esa no es tarea del departamento de informática esa es una tarea de toda la organización, allí cada vez toman mayor relevancia las unidades de control de riesgos o auditoría, gerencia de seguridad de la información o incluso un centro de respuesta a riesgos informáticos en los casos que corresponden.


1 comentario:

a las pruebas me remito dijo...

Pese a que son conocidas las continuas amenazas a los sistemas informáticos de las empresas, no parece que sus directores perciban este riesgo como un tema prioritario.



En las conversaciones que habitualmente tengo con directivos de empresa, vengo observando que apenas toman medidas para tratar de eliminar o al menos reducir los posibles riesgos. Dentro de sus estrategias tampoco está la necesidad de formar, entrenar y concienciar a sus empleados para que apliquen los necesarios mecanismos de seguridad.



Y lo que resulta mas preocupante aun es la desfavorable valoración que hacen de sus departamentos informáticos, o de las empresas con las que externalizan estos servicios. Es raro que pregunten o indaguen sobre los requisitos que exige la seguridad informática y los medios que han de aplicar para mantener activados los necesarios mecanismos de defensa.



Lo que mas me sorprende es que en la generalidad de los casos son conocedores de la inseguridad de la red, pero no hacen nada por establecer mecanismos de defensa. Todo un contrasentido.