Politicas de seguridad corporativas

Autor:Antoni Martín, Francisco de Quinto Zumárraga
 
EXTRACTO GRATUITO

2.1. La administración de la seguridad

Una política de seguridad informática es una forma de comunicarse con los usuarios y los gerentes. Las políticas de seguridad establecen el canal formal de actuación del personal, en relación con los recursos y servicios informáticos importantes de la organización.

No es una descripción técnica de mecanismos de seguridad, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el por qué de ello.

Cada política de seguridad es una invitación de la organización a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus negocios. Invitación que debe concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos críticos de la compañía.

Habitualmente en las empresas (pequeñas, grandes y medianas) el papel profesional de la responsabilidad de la seguridad informática la lleva el comúnmente denominado administrador de red o director, gerente o responsable informático. Una serie de tareas que hoy en día resulta vitales en la vida de una empresa, ya que de su trabajo reside, en parte, la continuidad del negocio. Ello hace que estos profesionales deban estar implicados directamente en la dirección de la empresa, en los consejos de dirección, y que hoy en día, este hecho desgraciadamente no ocurre en todas las organizaciones. Por ello, son los directivos, los directores de empresa, los primeros que deben concienciarse de la importancia de la seguridad informática, y las políticas de seguridad deben montarse también para ellos y con ellos.

Para simplificar el concepto de administración de seguridad, podemos dividirlo en tres grandes bloques:

Autenticación:

Establecer las entidades (usuarios, perfiles, sistemas) que pueden tener acceso al conjunto de recursos informatizados que la empresa ofrece.

Autorización:

Crear los mecanismos de accesos para estas entidades con autenticación, tengan efectivamente acceso únicamente a las áreas de trabajo e información que realmente deban acceder y vigilar los accesos ilegales a recursos no permitidos.

Auditoría:

Continua vigilancia en los servicios de producción, desarrollo e implementación de sistemas informáticos y organizativos (nuevos programas, nuevos empleados). También disponer de listados de usuarios activos, estadísticas de acceso y políticas de acceso físico a los recursos.

Como detalle en una de las “patas” de la seguridad global, podemos darnos cuenta que estos tres aspectos coinciden plenamente con la normativa española y europea sobre Protección de datos personales (Real Decreto 994/1999, LOPD 13 dic. 99, Directiva Europea 95/46/CE y la LSSICE1).

Además de estos tres grandes bloques la autenticación, la autorización, y la auditoría, el esquema para la administración de la seguridad debe centrarse también en un flujo constante de procedimientos y metodologías adecuadas a la empresa, pero que siempre deben seguir un análisis de riesgos, su plan de continuidad, el centro de respaldo para la posible (y no deseada) recuperación y las pruebas en él.

2.2. Desarrollo de una arquitectura segura de red

El objetivo de un política de seguridad empresarial es definir en la organización un...

Para continuar leyendo

SOLICITA TU PRUEBA