La Seguridad de la Información como decisión del Negocio

CategoriesActualidad / Blog del Ingeniero

Luis Javier Gomez Cadavid

26 agosto, 2015

0 0

Share this post

Cuando pensamos en seguridad de la información no podemos quedarnos únicamente en su definición como : “el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información  buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.”

Como responsable de su organización debe ir mas allá. Los primero que necesita saber es que su empresa está bajo ataque. Que la información sensible de sus clientes , proveedores , usuarios , accionista y la organización en general esta en riesgo . No es su culpa, pero es un problema que debe tratar. La seguridad al interior de su entorno como del ciberespacio no es un problema solo técnico que debe dejar al área de tecnología , ni quedarse con la aseveraciones técnicas de.

Ya estoy cubierto.

La cadena de seguridad en su organización están fuerte como el eslabón mas débil , en este caso el USUARIO. Esto es un problema de negocio y usted debe ser capaz de demostrar el debido cuidado. Lo importante es preparase y ser consiente de los riesgos que vienen de la mano con la oportunidad impresionante que es el Internet, así como el control de sus usuarios.

El perímetro se ha ido y tenemos que aceptar que somos parte de la internet , que hay personal al interior de la organización manejando datos y sistemas de acceso desde afuera. Con implementaciones en la nube  y puntos de control insuficientes.

Hoy en día nos movemos en un mundo BOYD con aplicaciones que se obtienen de terceros. Centros de datos ya no locales, pero gestionados por proveedores de servicios externos con mano de obra cada vez mas transitoria.

Además en Colombia como en América latina. Se han establecido normas y políticas de privacidad así como de  protección de datos a través de leyes que la empresa tiene que cumplir.

El control de acceso, la gestión de identidades así como una comunicación IT segura. Se convierten en elementos vitales para mitigar la vulnerabilidad  y el riego que todo esto trae. La mejor practica será encontrar el equilibrio entre el área de TI y el papel de la dirección del negocio.

Para complementar estas aseveraciones , grandes organizaciones en su procesos de implementación de auditorías periódicas de sus sistemas de gestión. Estas buscan garantizar el cumplimiento de las obligaciones que tienen en los diferentes reglamentos; esto no implica que sean igual a seguridad. Lo importante es pensar de una manera integral.

El control de acceso de los usuarios debe permitir a la organización alcanzar la información en términos de cómo se necesita. Para eso requiere de una autenticación fuerte ( Doble factor ). El usuario no solamente utiliza algo que sabe ( usuario y contraseña ) sino que también algo que tiene. ( Tokens , SMS , certificados etc); pero adicionalmente ¿dónde esta? , a que horas esta utilizando sus credenciales? Desde donde se conecta?. hará sentido e importancia la gestión de identidades. De la misma forma se debe tener en cuenta el nivel de cifrado ideal que supere los estándar comúnmente utilizados así como el encapsular  los recursos. Este le brindara una comunicación IT segura.

En América latina la dirección del negocio esta tomando conciencia de su responsabilidad explorando tecnologías mas allá de las convencionales. Estas sin licenciamientos a perpetuidad, sin implementación de módulos que implican grandes inversiones en el futuro para procesos de escalabilidad o renovación tecnológica. Igualmente que no se rijan por leyes de espionaje.

Autor :

Luis Javier Gómez C

Gerente Latam

Mobilityguard.