Los estándares de seguridad están en auge hoy día aquí en España PCI-DSS, estándares como la ISO 27001, y otros más.. No es que vayan a resolver todos tus problemas, pero es una manera de conocer hacia donde se dirige tu organización.
En mi opinión, la mayoría de las organizaciones tienen un gran desconocimiento de los riesgos a los que se enfrentan, sobre todo aquellas con presencia en Internet, desconocen a los que se exponen, así como tambien cual sería el impacto en su negocio, pero... ¿cuales son los problemas a los que se enfrentan?:
1. Administración y gobierno: Toda la bibliografía al respecto indica lo mismo, si el CEO y el consejo de administración de una empresa no tienen la responsabilidad final de la seguridad del negocio, entonces es que no le prestan atención. En este aspecto, las tareas de un consejo de administración preocupado por la seguridad de su empresa serían: asegurar la supervivencia y solidez de la empresa a largo plazo, desde un punto de vista económico, competitivo y organizativo rigiendo principios de transparencia eficiencia colegialidad unidad y división de funciones.
La seguridad es EL problema del director. Los administradores de sistemas e ingenieros de seguridad, serían la herramienta que el director debería utilizar. Los directores tendrían que involucrarse directamente en las decisiones que conlleven riesgo. No necesitan conocer los aspectos técnicos, pero sí que riesgos se están introduciendo o disminuyendo según las acciones de la propia evolución de la empresa. No es decisión del administrador de sistemas donde invertir para mitigar riesgos. Es el director quién debería saber lo que vale en Euros la prevención de un riesgo.
Hoy día, los directores están más preocupados por otras aspectos de la empresa que en esto que estamos hablando.
2. Políticas y estándares: Lo he comentado al principio, los estándares de seguridad y las políticas no son la panacea. Hay que tener una efectiva capa de administración y gobierno para asegurar las buenas prácticas, así como tomar conciencia del entorno corporativo.
Hay que predicar con el ejemplo y nada mejor que aplicarlo en casa.
3. Conciencia del entorno: Llama la atención cuantas organizaciones presumen de ser seguras y de poseer fuertes medidas y controles de seguridad pero no tienen un concepto claro de lo que poseen. ¿Cómo puedes afirmar que tu organización es segura si ni siquiera conoces lo que tienes que proteger?. Rangos de direcciones IPs, sistemas, aplicaciones web, entornos corporativos...
4. Gestión de respuesta a incidentes: Si al final, algo falla, y ocurre un incidente de seguridad (ocurrirá), en el mejor de los casos, la compañía será consciente de lo que les ha pasado, pero si no hay un plan de acción ¿cómo va a responder rápida y efectivamente ante algún imprevisto?
Resumiendo
Puede haber mucha teoría en cuanto a la gestión de la seguridad en una organización, pero en este caso, a diferencia de muchas de las tareas de un administrador de sistemas donde lo que prima es la lógica y el sentido común, aquí hará falta un marco adecuado de medidas y políticas que englobe a todo el personal de la empresa para al final recaer toda la responsabilidad principal o la mayor parte de ella en el director y/o consejo de dirección.
No hay comentarios:
Publicar un comentario