En esta unida aprendimos acerca de la seguridad de las tics que es muy importante ya que sin ella simplemente fuéramos vulnerables a todos los ataques ciberneticos,aprendimos también de la norma 27001 la cual nos habla de como puedes tener un SGSI con seguridad y tenerlo seguro.
Aprendimos sobre los factores de éxito de un SGSI los cuales nos ayudan a tener muy bien nuestro sistema uno de los puntos es la conciencia del empleado en la seguridad y un punto pero de riesgo es cuando el empleado se reusa al cambio del sistema.
otro de los temas que vimos fue el de gestión de usuario lo cual nos dice como crear una cuenta en tus sistema operativo para que la puedas administrar, hay diferentes cuentas como la de invitado,administrador esta ultimo es el que se encarga de los permiso de los usuario para así llevar un control y evitar problemas.
En general esta unidad para mi se trato de la seguridad en todo tipo de sistemas y normas que nos ayudan a implementarlas.
La Gestión Financiera de los
Servicios TIC ha sido siempre uno de los puntos más débiles dentro de los
diferentes marcos de trabajo que estructuran las actividades de los
Departamentos de TI.
El hecho de que haya otra
unidad en la organización cuya actividad se solapa completamente con la
necesidad de un control financiero del área de TI hace que, en muchas
ocasiones, los objetivos o los puntos de vista desde los que se analiza la
información financiera relativa tanto a costes como a presupuestos de TI no
satisfaga las necesidades propias del CIO y su equipo.
El libro IT Financial
Management presenta por primera vez una discusión desde el punto de vista de IT
de cómo se debe organizar y estructurar un proceso de Gestión Financiera cuyo
objetivo sea el contabilizar, presupuestar y (en ocasiones) facturar la
actividad del departamento de Tecnologías de la Información en base al concepto
de Servicio.
El libro plantea diferentes
esquemas de relación entre el área de TI y el resto de la organización y, para
cada uno de estos modelos, la estructura de información, procesos,
responsabilidades e incluso indicadores que se pueden utilizar en un marco de
trabajo para la Gestión Financiera de los Servicios TI.
G2, dentro de las
actividades que lleva a cabo para impulsar las últimas tendencias en Gobierno y
Gestión de las TIC, ha participado en la revisión y aseguramiento de la calidad
de este libro que es la última incorporación en la serie ITSM Library publicada
por la editorial Van Haren y reconocida
por el IPESC.
Windows NT es un sistema
operativo que administra sesiones. Esto significa que cuando se inicia un
sistema, es necesario registrarse con un nombre de usuario y una contraseña.
Cuando se instala Windows
NT, la cuenta de administrador se crea de forma predeterminada, así como
también una cuenta denominada invitado. Es posible (y se recomienda) modificar
los permisos de los usuarios (qué acciones pueden realizar) y también agregar
usuarios mediante el Administrador de usuarios.
Una cuenta de usuario es una
identificación asignada de manera única al usuario para permitirle:
iniciar sesión en un dominio
para acceder a los recursos de red
iniciar sesión en un equipo
local para acceder a los recursos locales
Por lo tanto, todos los
usuarios que utilizan habitualmente la red deben tener una cuenta.
Administración de usuarios
El Administrador de usuarios
es la utilidad estándar que ofrece Windows NT. Como su nombre indica, se
encarga de la administración de los usuarios. Se encuentra en el Menú Inicio
(Programas/Herramientas de administración).
El Administrador de usuarios
Para crear una cuenta nueva,
haga clic en Nuevo usuario en el menú de usuarios. Aparecerá un cuadro de
diálogo para especificar la información acerca del nuevo usuario:
Usuario: Nombre de inicio de
sesión del usuario
Nombre completo: Información
opcional del usuario
Descripción: Campo opcional
Los campos para la
Contraseña son opcionales. Aun así, se recomienda rellenarlos y marcar la
casilla con la etiqueta "El usuario debe cambiar la contraseña" por
razones de seguridad.
Convenciones para el nombre de usuario
El administrador identifica
a los usuarios por medio de convenciones para el nombre del usuario. Debe tener
en cuenta la siguiente información:
Los nombres de usuario deben
ser únicos (dentro de un dominio o en un equipo local)
Los nombres de usuario
pueden contener cualquier letra mayúscula o minúscula, pero no debe contener
los siguientes caracteres: / \ [ ] : . | = , + * ? < >
Evite crear nombres de
usuario similares.
Cuentas y seguridad de usuario
Hay dos tipos de cuentas en
NT. Las cuentas incorporadas son las cuentas que usted crea. Luego de su
instalación, Windows NT se configura con cuentas incorporadas (las cuentas
predeterminadas de administrador e invitado), que solo brindan una seguridad
mínima.
Los diferentes tipos de
cuentas son:
Las cuentas que usted crea:
Cuentas de usuarios para iniciar sesión en una red y acceder a sus recursos.
Estas cuentas poseen información acerca del usuario, en particular su nombre y
contraseña.
Invitado: Permite que, en
ocasiones, los usuarios inicien sesión y tengan acceso al equipo local. Esta
opción está desactivada de forma predeterminada.
Administrador: Se utiliza
para administrar la configuración global de equipos y dominios. Esta cuenta
puede llevar a cabo cualquier tarea.
Es fundamental:
En primer lugar, desactivar
la cuenta de invitado, que permitiría que cualquier usuario inicie sesión en el
sistema.
y en segundo lugar, cambiar
el nombre de la cuenta de administrador para reducir el riesgo de intrusión
mediante esta cuenta. Debido a que la cuenta de administrador posee todos los
permisos, es un objetivo prioritario de los posibles intrusos.
Eliminar
y cambiar el nombre a las cuentas de usuario
Cuando una cuenta ya no es necesaria, se puede eliminar o
se le puede dar otro nombre para que la pueda usar otro usuario. Tenga en
cuenta que al eliminar una cuenta también se elimina la identificación de
seguridad (SID, Security IDentification). Aunque NT ofrece hasta 15000
identificaciones de seguridad diferentes, no tiene sentido eliminar una cuenta
si se le puede cambiar el nombre para otro empleado.
Planificación de nuevas cuentas de usuarios
El proceso de creación de
cuentas se puede simplificar planificando y organizando la información acerca
de las personas que necesitan una cuenta de usuario.
La carpeta particular es la
carpeta privada en la que el usuario puede almacenar sus archivos. Se usa como
el archivo predeterminado para ejecutar comandos como "Guardar".
Puede almacenarse en el equipo local del usuario o en un servidor de red. Para
crearlas, se deben tomar en cuenta los siguientes puntos:
Es mucho más fácil asegurar
las copias de seguridad y la restauración de datos que pertenecen a usuarios
distintos si se almacenan las carpetas particulares en un servidor. De lo contrario,
se tendrían que hacer copias de seguridad periódicas de los datos en los
distintos equipos de red donde se almacenan las carpetas particulares.
Preste atención al espacio
en disco de los controladores de dominio: Windows NT no tiene utilidades para
administrar el espacio en disco (Windows 2000 sí). Debido a esto, si no tiene
cuidado en evitar que las carpetas particulares se llenen de archivos de gran
tamaño, es posible que el espacio de almacenamiento se agote rápidamente. No
obstante, hay herramientas de terceros para esta tarea, por ejemplo,
"QUOTA MANAGER".
Si un usuario trabaja en un
equipo sin disco duro, su carpeta particular debe estar en el servidor de red
Si las carpetas particulares
se ubican en equipo locales, aumentará el rendimiento de la red, ya que habrá
menos tráfico y el servidor no estará atendiendo órdenes constantemente.
FrameWork un conjunto estandarizado de
conceptos, prácticas y criterios para enfocar un tipo de problemática
particular que sirve como referencia, para enfrentar y resolver nuevos
problemas de índole similar.
En el desarrollo de software, un FrameWork
o infraestructura digital, es una estructura conceptual y tecnológica de soporte
definido, normalmente con artefactos o módulos de software concretos, que puede
servir de base para la organización y desarrollo de software. Típicamente,
puede incluir soporte de programas, bibliotecas, y un lenguaje interpretado,
entre otras herramientas, para así ayudar a desarrollar y unir los diferentes
componentes de un proyecto.
Representa una arquitectura de software que modela las relaciones
generales de las entidades del dominio, y provee una estructura y una especial
metodología de trabajo, la cual extiende o utiliza las aplicaciones del
dominio.
Los FrameWork tienen como objetivo principal ofrecer una funcionalidad
definida, auto contenido, siendo construidos usando patrones de diseño, y su
característica principal es su alta cohesión y bajo acoplamiento. Para acceder
a esa funcionalidad, se construyen piezas, objetos, llamados objetos calientes,
que vinculan las necesidades del sistema con la funcionalidad que este presta.
Esta funcionalidad, está constituida por objetos llamados fríos, que sufren
poco o ningún cambio en la vida del FrameWork, permitiendo la portabilidad
entre distintos sistemas.
Arquitectura
Dentro de este
aspecto, podemos basarnos en el modeloMVC(Controlador => Modelo =>
Vista), ya que debemos fragmentar nuestraprogramación. Tenemos que contemplar estos aspectos básicos en
cuanto a la implementación de nuestro sistema:
Modelo
Este miembro delcontroladormaneja
las operaciones lógicas, y de manejo de información (previamente enviada por su
ancestro), para resultar de una forma explicable y sin titubeos. Cada miembro
debe ser meticulosamente llamado, con su correcto nombre y en principio, con su
verdadera naturaleza: el manejo de información, su complementación directa.
Vista
Al final, a este miembro de la familia le
corresponde dibujar, o expresar la última forma de los datos: la interfaz
gráfica que interactúa con el usuario final del programa (GUI). Después de
todo, a este miembro le toca evidenciar la información obtenida hasta hacerla
llegar al controlador. Solo (e inicialmente), nos espera demostrar la
información.
Controlador
Con este apartado podemos controlar el acceso
(incluso todo) a nuestraaplicación, y esto puede
incluir:archivos,scripts, y/oprogramas; cualquier tipo
de información que permita lainterfaz. Así, podremos diversificar nuestro contenido de
forma dinámica, y estática (a la vez); pues, solo debemos controlar ciertos
aspectos (como se ha mencionado antes).
Estructura
Dentro del
controlador, modelo o vista podemos manejar lo siguiente: datos. Depende de
nosotros como interpretar y manejar estos 'datos'. Ahora, sabemos que el único
dato de una dirección estática web es: conseguir un archivo físico en eldisco duroo deInternet, etc. he interpretado o no, elservidorresponde.
Si o no y luego se va.
El modelo, al igual
que el controlador y la vista, maneja todos los datos que se relacionen consigo
(solo es el proceso medio de la separación por capas que ofrece la arquitectura
MVC). Y solo la vista, puede demostrar dicha información. Con lo cual ya hemos
generado lajerarquíade
nuestro programa: Controlador, Modelo y Vista.
Esto se consigue mediante
una correcta gestión de los procesos y los servicios TIC, a través de la
aplicación de marcos de referencia, buenas prácticas y metodologías adecuadas,
y a la implantación de herramientas integradas que soporten las tareas de
gestión y control necesarias.
No es suficiente con
disponer de personas, procesos y tecnología. Debe existir una mezcla adecuada
de:
•Herramientas (tecnología)
integradas, que permitan llevar a cabo, controlar y soportar:
•Procesos integrados,
basados en las mejores prácticas, para que:
•Personas integradas entre
sí, organicen y ejecuten sus actividades según las prioridades de la empresa o
entidad.
Se debe diseñar, auditar y
evaluar los servicios y procesos de las tics, implementar soluciones para la
gestión de los procesos y servicios, para que el departamento encargado pueda
realizar:
•Estandarizar y automatizar
procesos para reducir costes y aumentar la calidad de los servicios y el valor
para el cliente y la empresa.
•Automatizar la entrega de
servicios a los usuarios y reducir los costes de soportar las infraestructuras
•Descubrir y controlar los
activos TIC para eliminar pérdidas, riesgos y mal uso de los mismos
Alinearse con la empresa o entidad a través de:
•Una correcta gestión y
monitorización de la infraestructura y las aplicaciones que soportan los
servicios críticos para el negocio
•Priorizar proyectos y
cambios según prioridades del negocio
•Demostrar la efectividad y
el valor de las TIC
Soluciones:
•Gestión de los procesos de
soporte y la entrega del servicio: problemas, incidencias, cambios etc…
La oficina de seguridad para
las redes informáticas es una entidad nacional adscripta al Ministerio de la
Informática y las Comunicaciones que tiene por objeto social:
Llevar a cabo la prevención, evaluación,
aviso, investigación y respuesta a las acciones, tanto internas como externas,
que afecten el normal funcionamiento de las tecnologías de la información del
país.
Trabaja por fortalecer la seguridad durante
el empleo de las tecnologías de la información. Su propósito consiste en
implementar un sistema que contribuya al ordenamiento de las actividades
asociadas con las redes informáticas y de comunicaciones, mediante el
establecimiento de un esquema que garantice niveles aceptables de seguridad.
Origen del riesgo tecnológico ¿Cómo nos afecta?
El riesgo tecnológico tiene
su origen en el continuo incremento de herramientas y aplicaciones tecnológicas
que no cuentan con una gestión adecuada de seguridad. Su incursión en las
organizaciones se debe a que la tecnología está siendo fin y medio de ataques
debido a vulnerabilidades existentes por medidas de protección inapropiadas y
por su constante cambio, factores que hacen cada vez más difícil mantener
actualizadas esas medidas de seguridad.
Adicional a los ataques
intencionados, se encuentra el uso incorrecto de la tecnología, que en muchas
ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se
exponen las organizaciones.
El riesgo tecnológico puede
verse desde tres aspectos, primero a nivel de la infraestructura tecnológica
(hardware o nivel físico), en segundo lugar a nivel lógico (riesgos asociados a
software, sistemas de información e información) y por último los riesgos
derivados del mal uso de los anteriores factores, que corresponde al factor
humano como un tercer nivel.
Si se revisan las
definiciones de las metas, objetivos, visión o misión de las organizaciones,
estás no se fundamentan en términos técnicos o con relación a la tecnología.
Sin embargo, al analizar de forma profunda y minuciosa este tipo de
planteamientos gerenciales, se encuentra que su aplicación trae como base el
desempeño de una infraestructura tecnológica que permita darle consecución a
dichas cualidades. Por ello, el cumplimiento correspondiente con la prestación
de los servicios y desarrollo de los productos ofrecidos por la empresa, el
mantenimiento de la actividad operativa e incluso la continuidad del negocio,
dependen del cuidado y conservación que se tenga de la base tecnológica y por
supuesto, del personal que la opera.
Medidas de aseguramiento ante el riesgo tecnológico
Hablar de controles y medidas que
permitan a las organizaciones contrarrestar este tipo de riesgo puede ser
complicado, pero es posible tomar acciones que lleven a su mitigación.
El aseguramiento
puede realizarse desde los tres niveles antes mencionados.
En el nivel
físico, las medidas a tomar son de carácter técnico o de seguridad informática,
referidas a la aplicación de procedimientos de control y barreras físicas ante
amenazas para prevenir daño o acceso no autorizado a recursos e información
confidencial que sea guardada en la infraestructura física. Dentro de éstas se
encuentran:
Controles de acceso físico, que pueden incluir el uso de
sistemas biométricos vigilantes para acceso en áreas específicas.
Manejo de tokens o tarjetas de identificación.
Controles a nivel de equipos, tales como ubicación y protección,
seguridad en cableado o mantenimiento periódico de equipos.
Servicios básicos (energía, agua y alcantarillado, entre
otros) de soporte para continuidad.
Gestión de medios de almacenamiento removible.
Controles de vulnerabilidades técnicas, entre otros.
En el nivel lógico, las
medidas a tomar se dan con respecto al uso de software y sistemas, enfocadas a
proteger los datos y garantizar el acceso autorizado a la información por parte
de los usuarios a través de los procedimientos correctos. Como parte de estas
medidas se pueden tomar:
Controles de acceso
lógico con la gestión de usuarios, perfiles y privilegios para acceso a
aplicaciones y gestión de contraseñas.
Controles de acceso a
la red interna y externa, segregación en redes y controles para asegurar servicios
de la red.
Controles a nivel de tele-trabajo y equipos móviles.
Soluciones de
protección contra malware.
Respaldos de bases de
datos e información crítica.
Protocolos para
intercambio de información y cifrado de información.
Monitoreo de los
sistemas, sincronización de relojes y protección sobre registros.
Limitación en tiempos
de conexión a aplicativos y cierres de sesión por inactividad.
Gestión de control de
cambios, entre otros.
El tercer nivel y el más crítico dentro de las
organizaciones, dada su naturaleza impredecible, es el personal o recurso
humano. Las medidas a este nivel deberían ser más procedimentales, ligadas a la
regulación y concienciación. Dentro de éstas se pueden incluir:
·Definición de
políticas de seguridad que presenten las correspondientes violaciones con el
fin de dar cumplimiento.
·Controles
relacionados a acuerdos con terceros, prestación de servicios que se puedan dar
con éstos y segregación de funciones.
·Controles a nivel
contratación de personal.
·Gestión antes,
durante y después de la terminación de los contratos.
·Educación y
capacitación continua en aspectos de seguridad.
·Procedimientos e
instructivos para manejo de información.
·Políticas de
escritorio y pantalla limpia.
·Cumplimiento de
legislación aplicable, entre otros.
Existen dos grandes tipos de
indicadores de infraestructura y acceso aquellos en que un valor más alto
implica una mejor situación en términos del desarrollo de la infraestructura y
el acceso a las TIC, y los indicadores de tarifa, donde un valor menor
generalmente indica una mejor situación.
Los indicadores se presentan
de múltiples maneras, incluso ponderados por población (como proporción por
cada 100 habitantes, proporción por habitantes, porcentaje de población), costo
mensual (en términos absolutos y como porcentaje del ingreso mensual per
cápita) y porcentaje de localidades. Los indicadores clave sobre
infraestructura y acceso a las TIC son recopilados por la Unión Internacional
de Telecomunicaciones (UIT), como parte de una recopilación mucho más amplia de
indicadores de telecomunicaciones
Los datos para los
indicadores provienen de varias fuentes, siendo la principal una encuesta anual
de las autoridades de telecomunicaciones y de algunas empresas privadas. Otras
fuentes incluyen informes proporcionados por las autoridades reguladoras,
ministerios y operadores de telecomunicaciones. En virtud de que los datos son
aportados por los proveedores más que por los usuarios, ellos se encuentran
ampliamente disponibles tanto en las economías desarrolladas como en las en
desarrollo.
Las organizaciones son cada
vez más dependientes de la Tecnología de Información para soportar y mejorar
los procesos de negocio requeridos para cumplir las necesidades de los clientes
y de la propia organización.
En muchos casos, los
servicios de TI conforman la base del modelo de negocio en su totalidad, en
estos casos TI no brinda soporte al negocio, es el negocio. Más allá de la
importancia de TI en la organización, la competitividad y las presiones
económicas se ven reflejadas en presiones para en lo posible disminuir el
presupuesto de TI.
Al mismo tiempo las
expectativas por la calidad, innovación y valor de TI continúan
incrementándose. Esto hace imperativo que las organizaciones de TI tomen un
enfoque orientado al negocio y al servicio en lugar de un enfoque centrado en
la tecnología.
Gestión de Servicios de TI
Para lograr este cambio de
enfoque las áreas de TI, necesitan concentrarse en la calidad de los servicios
que brindan, y asegurarse que los mismos estén alineados a los objetivos de la
organización.
Cuando los servicios de TI
son críticos, cada una de las actividades que se realizan deben de estar
ejecutadas con un orden determinado para asegurar que el grupo de TI
proporciona valor y entrega los servicios de forma consistente.
La Gestión de servicios es
un una disciplina de gestión basada en procesos que pretende alinear los
servicios de TI con las necesidades de la organización, además brinda un orden
determinado a las actividades de gestión.
Mejores Prácticas
ITIL, por sus siglas en
inglés (Information Technology Infrastructure Library) es una colección de
documentos públicos, que basados en procesos y en un marco de mejores prácticas
de la industria, permite la Gestión de Servicios de TI con calidad y a un costo
adecuado.
ITIL tiene que ver con todos
aquellos procesos que se requieren ejecutar dentro de las organizaciones para
la administración y operación de la infraestructura de TI, de tal forma que se
tenga una óptima provisión de servicios a los clientes bajo un esquema de
costos congruentes con las estrategias del negocio.
Desarrollada su 1er versión
a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la
Información (ITIL) se ha convertido en el estándar mundial de facto en la
Gestión de Servicios Informáticos.
Uno de los conceptos
esenciales de ITIL es que establece que para una adecuada Gestión de Servicios
en las Tecnologías de Información es necesaria una mezcla sinérgica entre tres
factores: Personas, Procesos y Tecnología.
Beneficios de ITIL
Los siguientes son algunos
de los beneficios que debe tener una adecuada Gestión del Servicio en las
Tecnologías de Información:
Maximiza la calidad del
servicio apoyando al negocio de forma expresa. Ofrece una visión clara de la
capacidad del área IT
Aumenta la satisfacción en
el trabajo mediante una mayor comprensión de las expectativas y capacidades del
servicio
Minimiza el ciclo de cambios
y mejora los resultados de los procesos y proyectos IT
Facilita la toma de
decisiones de acuerdo con indicadores de IT y de negocio
Características de ITIL
Las siguientes son algunas
de las características de ITIL
Es un FrameWork de procesos
de IT no propietario.
Es independiente de los
proveedores.
Es independiente de la
tecnología.
Está basado en "Best
Practices".
Provee:
Una terminología estándar.
Las interdependencias entre
los procesos.
Los lineamientos para la
implementación.
Los lineamientos para la
definición de roles y responsabilidades de los procesos
Las bases para comparar la
situación de la empresa frente a las “mejores prácticas”.
La
concienciación del empleado por la seguridad. Principal objetivo a conseguir.
Realización
de comités de dirección con descubrimiento continuo de no conformidades o acciones
de mejora.
Creación
de un sistema de gestión de incidencias que recoja notificaciones continuas por
parte de los usuarios (los incidentes de seguridad deben ser reportados y
analizados).
Seguridad
absoluta no existe, se trata de reducir el riesgo a niveles asumibles.
La
seguridad no es un producto, es un proceso.
La
seguridad no es un proyecto, es una actividad continua y el programa de
protección requiere el soporte de la organización para tener éxito.
La
seguridad debe ser inherente a los procesos de información y del negocio
Riesgos
Exceso de tiempos de
implantación: con los consecuentes costes descontrolados, desmotivación,
alejamiento de los objetivos iniciales, etc.
Temor ante el cambio:
resistencia de las personas.
Discrepancias en los comités de dirección.
Delegación de todas las responsabilidades en
departamentos técnicos.
No asumir que la seguridad de la información
es inherente a los procesos de negocio.
Planes
de formación y concienciación inadecuados.
Calendario de revisiones que
no se puedan cumplir.
Definición poco clara del alcance.
Exceso de medidas técnicas en detrimento de la
formación, concienciación y medidas de tipo organizativo.
Falta de comunicación de los
progresos al personal de la organización.
La norma adopta una
aproximación de proceso al establecimiento, a la implementación, a la
operación, el monitoreo, a la revisión, al mantenimiento y a la mejora del
sistema de gestión de seguridad de la información de una organización.
La Organización
Internacional de Estandarización (ISO) estableció la norma ISO 27001, la cual
se emplea para la certificación. Ha reemplazado el estándar BS 7799 y brinda
una norma internacional para sistemas de gestión de seguridad de la
información. Con base en el estándar BS 7799, se la ha reorganizado para
alinearse con otras normas internacionales. Se han incluido algunos nuevos
controles, es decir, el énfasis en las métricas para la seguridad de la información
y la gestión de incidentes.
La norma también se
fundamenta en otras como ISO/IEC 17799:2005, la serie ISO 13335, ISO/IEC TR
18044:2004 y las “Directrices de la OCDE para Sistemas y Redes de Seguridad de
la Información – Hacia una cultura de seguridad” que proporcionan orientación
para la implementación de la seguridad de la información.
En conformidad con otras normas de sistemas de
La norma ISO 27001 está
alineada con otros sistemas de gestión y soporta la implementación y la
operación coherente e integrada con normas de gestión relacionadas. El
resultado es:
·Armonización con
normas de sistemas de gestión como ISO 9001 e ISO 14001.
·Énfasis en la mejora continua
de procesos de su sistema de gestión de seguridad de la información.
·Clarificación de
requisitos de documentación y registros.
·Procesos de
evaluación y gestión de los riesgos involucrados mediante la utilización de un
modelo del proceso PDCA - Planificar, Hacer, Verificar, Actuar (PDCA, por sus
siglas en inglés).
Protegiendo sus activos
La norma plantea un enfoque
completo a la seguridad de la información. Los activos que necesitan protección
van de la información digital, documentos en papel y activos físicos
(computadoras y redes) a conocimientos de los empleados. Las cuestiones que usted
tiene que tratar van del desarrollo de competencias del personal a la
protección técnica contra los fraudes informáticos.
ISO 27001 lo ayudará a proteger su información en términos de:
Confidencialidad, que
asegura la accesibilidad de la información solamente a los que estén
autorizados a tener acceso.
Integridad, que protege la
precisión y la totalidad de la información y los métodos de procesamiento.
Disponibilidad, que asegura
que los usuarios autorizados tengan acceso a la información y activos
relacionados cuando se lo exija.
Cuatro beneficios clave de la implementación de la norma
ISO 27001
1. Cumplimiento
Puede resultar extraño
mencionar este beneficio en primer lugar, pero, generalmente, es el que
demuestra el “rendimiento de la inversión” más rápidamente. Si una organización
debe cumplir con diversas normas sobre protección de datos, privacidad y
control de TI (especialmente si se trata de una organización financiera, de
salud o gubernamental), la norma ISO 27001 puede aportar la metodología que
permita hacerlo de la manera más eficiente.
2. Ventaja de
comercialización
En un mercado cada vez más
competitivo, a veces es muy difícil encontrar algo que lo diferencie ante la
percepción de sus clientes. La norma ISO 27001 puede ser un verdadero punto a
favor, especialmente si usted administra información sensible de sus clientes.
3. Disminución de gastos
Generalmente, se considera a
la seguridad de la información como un costo sin una ganancia financiera
evidente. Sin embargo, hay una ganancia financiera si usted disminuye los
gastos ocasionados por incidentes. Probablemente sí se produzcan en su empresa
interrupciones de servicio o esporádicos filtrados de datos, o tengan empleados
descontentos. O ex empleados descontentos.
La verdad es que aún no
existe una metodología ni tecnología que pueda calcular cuánto dinero se puede
ahorrar si evita ese tipo de incidentes. Pero siempre es oportuno alertar a la
dirección sobre estos casos.
4. Ordenamiento de su
negocio
Probablemente, éste sea el
beneficio más subestimado; pero si su empresa ha tenido un crecimiento continuo
durante los últimos años, es posible que tenga problemas para determinar quién
decide qué cosas, quién es responsable de determinados activos de la
información, quién debe autorizar el acceso a los sistemas de información, etc.
La norma ISO 27001 es
especialmente útil para resolver estas cuestiones: le obligará a definir de
forma muy precisa tanto las responsabilidades como las obligaciones y, de esta
forma, ayudará a reforzar su organización interna.
Para finalizar, la norma ISO
27001 puede aportar muchos beneficios, además de ser sólo otro certificado
colgado en su pared. En la mayoría de los casos, si usted presenta esos
beneficios de forma clara, los directores comenzarán a prestarle atención.
