El primer reto que se encuentra una organización para proteger sus activos de las amenazas y vulnerabilidades existentes es establecer porque debe protegerlo y como protegerlo. Estas dos preguntas son claves para establecer los controles y así mitigar el riesgo asociado al activo.
En la situación actual y con esta “bonita” crisis, se mira con lupa el gasto que se va a desembolsar siendo la formación y la seguridad, los apartados más damnificados.
¿Cuánto es el gasto que hay desembolsar para proteger un activo? La respuesta es depende, ¿Por qué? No es lo mismo proteger los datos contables de la compañía o el plan de I+D+i que proteger el artículo que se va a publicar en un blog. Evidentemente las medidas de seguridad a implantar para proteger los datos contables de la compañía van desde un control de acceso lógico hasta la activación de pistas de auditoría mientras que proteger el artículo del blog, únicamente será necesario hacer una copia de seguridad del blog para no perder el contenido del mismo.
Esto es, las medidas de seguridad a implantar son proporcionales al activo que se quiere proteger, solo hay que comparar las medidas de seguridad existentes en un banco frente a las existentes en la tienda “todo a 100″ de la esquina.
¿Cómo trasladarlo a la organización? Primero identificar los diferentes activos que se posee, desde edificios hasta patentes, posteriormente clasificarlos y establecer su criticidad. Una vez establecida la criticidad establecer con la gerencia la importancia de protegerlos y cuáles serían los diferentes controles que se van a implantar para mitigar el riesgo.
Por ejemplo, la carpeta de I+D+i que contiene los diferentes proyectos de investigación de la organización, actualmente es accedida por toda la organización con permisos de lectura escritura, no se realiza copia de seguridad y no se registra la actividad de ningún tipo que se realiza sobre la misma. Hay dos controles críticos a implantar, control de acceso lógico y copias de seguridad. El primero mitiga la posibilidad de fuga de información por parte de cualquier empleado de la organización y el segundo permite no perder la información en caso de ruptura de disco duro.
Desde un punto de vista teórico queda genial pero se vuelve a la pregunta que nos hemos hecho con antelación: ¿Cómo lo traslado a la organización? Para ello aparte de lo anteriormente mencionado, es necesario implicar a la gerencia e involucrar a los empleados en estos procesos porque sin ellos es complicado, por no decir imposible, ya que éstos últimos lo van a ver como otra traba más dentro de su trabajo diario.
El modelo ideal sería que cualquier decisión que afecte a los sistemas de información debería ser consensuada con el departamento de TI y en consonancia a las necesidades del negocio.
Javier Allende
Enviar comentarios