La calidad y la seguridad en
el entorno de las TIC no pueden ser consideradas elementos aislados del resto de la
organización.
El disponer de un modelo de gestión que propugne la búsqueda de
la excelencia a través de la mejora continua, y cuando sea posible de mejoras
en escalón, en todos los procesos de la organización, es un condicionante
fundamental.
Ese modelo permitirá crear una cultura en la que todos aporten
valor, todos se esfuercen en maximizar la eficacia y la eficiencia de sus
procesos para proporcionar productos y servicios a los clientes. Todos asumirán
como propias las medidas de seguridad de sus sistemas TIC para evitar que los
potenciales problemas puedan impactar negativamente a sus clientes. Todos
entenderán su red de procesos, comprenderán la importancia de gestionarlos y mejorarlos,
aportarán sugerencias e ideas de mejora; en definitiva vivirán su actividad
organizativa como una experiencia vital y enriquecedora.
Las
tecnologías de seguridad informática se basan en la lógica. Dado que la
seguridad no es necesariamente el objetivo principal de la mayoría de las
aplicaciones, el diseño de un programa con la seguridad en mente a menudo
impone restricciones sobre el comportamiento de ese programa.
Existen
métodos para la seguridad en la informática.
- La confianza de todos los software para cumplir una política de seguridad pero el software no es confiable
- La confianza de todos los software para cumplir una política de seguridad y el software esta valido como de desconfianza
- No confíes en software, sino aplica una política de seguridad con mecanismos que son dignos de confianza.
Administración
de la seguridad
Administración de la Seguridad en las TIC,
El proceso de administración de seguridad
es un proceso continuo, dado que es necesario evaluar de manera
periódica si los riesgos identificados y la exposición de la organización a
éstos, calculada en etapas anteriores, se mantiene vigente. La dinámica en la
cual se encuentran inmersas las organizaciones actualmente, requiere que ante
cada nuevo cambio, se realice en etapas tempranas un análisis de riesgo del
proyecto así como su impacto futuro en la estructura de riesgos de la
organización.
Un buen plan de respuestas a
incidentes puede no sólo minimizar los efectos de una violación sino también, reducir
la publicidad negativa.
Desde la perspectiva del
equipo de seguridad, no importa si ocurre una violación o abertura (pues tales
eventos son una parte eventual de cuando se hacen negocios usando un método de
poca confianza como lo es Internet), sino más bien cuando ocurre. No piense en
un sistema como débil o vulnerable, es importante darse cuenta que dado el tiempo
suficiente y los recursos necesarios, alguien romperá la seguridad hasta del
sistema o red más seguro y protegido.
El aspecto positivo de
entender la inevitabilidad de una violación a los sistemas es que permite al
equipo de seguridad desarrollar un curso de acciones para minimizar los daños
potenciales. Combinando un curso de acciones con la experiencia le permite al
equipo responder a condiciones adversas de una manera formal y oportuna.
El plan de respuesta a incidentes puede ser dividido en
cuatro fases:
- Acción inmediata para detener o minimizar el incidente
- Investigación del incidente
- Restauración de los recursos afectados
- Reporte del incidente a los canales apropiados
Una respuesta a incidentes debe ser decisiva y ejecutarse
rápidamente. Debido a que hay muy poco espacio para errores, es crítico que se
efectúen prácticas de emergencias y se midan los tiempos de respuesta. De esta
forma, es posible desarrollar una metodología que fomenta la velocidad y la
precisión, minimizando el impacto de la in-disponibilidad de los recursos y el
daño potencial causado por el sistema en peligro.
Un
plan de respuesta a incidentes tiene un número de requerimientos, incluyendo:
- Un equipo de expertos locales (un Equipo de respuesta a emergencias de computación)
- Una estrategia legal revisada y aprobada
- Soporte financiero de la compañía
- Soporte ejecutivo de la gerencia superior
- Un plan de acción factible y probada
GRACIAS POR EL APORTE A LA INFORMACION DE LA SEGURIDAD
ResponderEliminar