lunes, 30 de marzo de 2015

OFICINAS DE SEGURIDAD

La oficina de seguridad para las redes informáticas es una entidad nacional adscripta al Ministerio de la Informática y las Comunicaciones que tiene por objeto social:
  • Llevar a cabo la prevención, evaluación, aviso, investigación y respuesta a las acciones, tanto internas como externas, que afecten el normal funcionamiento de las tecnologías de la información del país.

  • Trabaja por fortalecer la seguridad durante el empleo de las tecnologías de la información. Su propósito consiste en implementar un sistema que contribuya al ordenamiento de las actividades asociadas con las redes informáticas y de comunicaciones, mediante el establecimiento de un esquema que garantice niveles aceptables de seguridad.



Origen del riesgo tecnológico ¿Cómo nos afecta?

      El riesgo tecnológico tiene su origen en el continuo incremento de herramientas y aplicaciones tecnológicas que no cuentan con una gestión adecuada de seguridad. Su incursión en las organizaciones se debe a que la tecnología está siendo fin y medio de ataques debido a vulnerabilidades existentes por medidas de protección inapropiadas y por su constante cambio, factores que hacen cada vez más difícil mantener actualizadas esas medidas de seguridad.

     Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnología, que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las organizaciones.
      El riesgo tecnológico puede verse desde tres aspectos, primero a nivel de la infraestructura tecnológica (hardware o nivel físico), en segundo lugar a nivel lógico (riesgos asociados a software, sistemas de información e información) y por último los riesgos derivados del mal uso de los anteriores factores, que corresponde al factor humano como un tercer nivel.
      Si se revisan las definiciones de las metas, objetivos, visión o misión de las organizaciones, estás no se fundamentan en términos técnicos o con relación a la tecnología. Sin embargo, al analizar de forma profunda y minuciosa este tipo de planteamientos gerenciales, se encuentra que su aplicación trae como base el desempeño de una infraestructura tecnológica que permita darle consecución a dichas cualidades. Por ello, el cumplimiento correspondiente con la prestación de los servicios y desarrollo de los productos ofrecidos por la empresa, el mantenimiento de la actividad operativa e incluso la continuidad del negocio, dependen del cuidado y conservación que se tenga de la base tecnológica y por supuesto, del personal que la opera.


Medidas de aseguramiento ante el riesgo tecnológico

     Hablar de controles y medidas que permitan a las organizaciones contrarrestar este tipo de riesgo puede ser complicado, pero es posible tomar acciones que lleven a su mitigación.
      El aseguramiento puede realizarse desde los tres niveles antes mencionados.
      En el nivel físico, las medidas a tomar son de carácter técnico o de seguridad informática, referidas a la aplicación de procedimientos de control y barreras físicas ante amenazas para prevenir daño o acceso no autorizado a recursos e información confidencial que sea guardada en la infraestructura física. Dentro de éstas se encuentran:



  •    Controles de acceso físico, que pueden incluir el uso de sistemas biométricos vigilantes para acceso en áreas específicas.
  •    Manejo de tokens o tarjetas de identificación.
  •    Controles a nivel de equipos, tales como ubicación y protección, seguridad en cableado o mantenimiento periódico de equipos.
  •    Servicios básicos (energía, agua y alcantarillado, entre otros) de soporte para continuidad.
  •    Gestión de medios de almacenamiento removible.
  •    Controles de vulnerabilidades técnicas, entre otros.

     En el nivel lógico, las medidas a tomar se dan con respecto al uso de software y sistemas, enfocadas a proteger los datos y garantizar el acceso autorizado a la información por parte de los usuarios a través de los procedimientos correctos. Como parte de estas medidas se pueden tomar:


  •           Controles de acceso lógico con la gestión de usuarios, perfiles y privilegios para acceso a aplicaciones y gestión de contraseñas.
  •          Controles de acceso a la red interna y externa, segregación en redes y controles para asegurar servicios de la red.
  •          Controles a nivel de tele-trabajo y equipos móviles.
  •          Soluciones de protección contra malware.
  •          Respaldos de bases de datos e información crítica.
  •          Protocolos para intercambio de información y cifrado de información.
  •          Monitoreo de los sistemas, sincronización de relojes y protección sobre registros.
  •          Limitación en tiempos de conexión a aplicativos y cierres de sesión por inactividad.
  •          Gestión de control de cambios, entre otros.

   El tercer nivel y el más crítico dentro de las organizaciones, dada su naturaleza impredecible, es el personal o recurso humano. Las medidas a este nivel deberían ser más procedimentales, ligadas a la regulación y concienciación. Dentro de éstas se pueden incluir:
· Definición de políticas de seguridad que presenten las correspondientes violaciones con el fin de dar cumplimiento.
· Controles relacionados a acuerdos con terceros, prestación de servicios que se puedan dar con éstos y segregación de funciones.
·      Controles a nivel contratación de personal.
·      Gestión antes, durante y después de la terminación de los contratos.
·      Educación y capacitación continua en aspectos de seguridad.
·      Procedimientos e instructivos para manejo de información.
·      Políticas de escritorio y pantalla limpia.
·      Cumplimiento de legislación aplicable, entre otros.



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)