Actualmente las empresas utilizan las
herramientas de Tecnología de la Información y las Comunicaciones como la base
de sus operaciones, dependiendo de la tecnología para optimizar sus operaciones
y mejorar la calidad de los bienes y servicios que ofrecen al mercado. Dada
esta dependencia de la tecnología, deben tomarse las medidas correspondientes
para garantizar la protección de esta infraestructura vital para el
funcionamiento de las empresas.
La información es un activo muy
valioso del que depende el buen funcionamiento de una organización y no se
deben escatimar esfuerzos ni recursos para la protección de la información de
la organización y del personal de la misma.
Independientemente del hecho que las
políticas de seguridad informática que se implementan en una organización no
aportan valores económicos o de optimización de los procesos que llevan a cabo
para generar sus bienes y servicios, es importante mencionar las importantes
razones por las cuales deben ser implantadas en la medida que los recursos
económicos de la empresa los pueda asumir.
La principal razón de la necesidad de
adoptar políticas de seguridad informática en las empresas es la
protección de la reputación y del buen nombre de la empresa, ya que cuando se
presenta un incidente grave de seguridad informática en una empresa, tal como
una intrusión y el robo de información sensible y confidencial de la misma, se
presenta un grave daño a la imagen corporativa de la misma, lo cual hace que
pierda competitividad en el mercado en el cual se desenvuelve.
Desde el punto de vista legal y
jurídico también se presentan ciertos riesgos, ya que según el país en el cual
desarrolle las actividades una empresa, especialmente si se planea a futuro
realizar operaciones a nivel internacional, existen legislaciones que
responsabilizan directamente a una empresa por daños causados a terceros por
omisión de las políticas y medidas de seguridad informática. En este sentido la
aplicación de políticas de seguridad informática que se adecuen con las
exigencias jurídicas evita los costes derivados del incumplimiento de las leyes.
La seguridad de la información aporta
beneficios a la organización, en cuanto dota a los procesos productivos de
fidelidad y seguridad, disminuyendo costos y tiempo de indisponibilidad de los
servicios prestados y usados por la organización.
A través de la aplicación de políticas
de seguridad se pueden minimizar los riesgos a los que se somete la
organización durante sus operaciones a niveles aceptables que puedan ser
asumidos.
Con la aplicación de políticas de
seguridad se logra optimizar los gastos de implementación y protección de la
infraestructura tecnológica, dándole prioridad a los activos de información
vitales para el funcionamiento de la organización.
Para mejorar las políticas de
seguridad informática la empresa debe optar por un proceso de certificación en
seguridad informática tal como la ISO/IEC 27001, este estándar es un conjunto
de recomendaciones y un cuerpo de conocimientos para mejorar la seguridad de la
información mediante la aplicación de una serie de políticas, normas y
procedimientos que permite una sistematización y mejora continua de la gestión
de los servicios tecnológicos de la empresa, mejorando la reputación de la
empresa y garantizando la continuidad del negocio.
El
aspecto más importante a tener en cuenta al definir políticas de seguridad de
la información es definir las funciones, responsabilidades y procedimientos que
realizan los miembros de la empresa, a través del correspondiente proceso
administrativo impulsado, mediado y respaldado por los directores de la
organización para garantizar el éxito de este proceso.
No se puede impulsar una
política de seguridad sin la participación de los usuarios de la tecnología
dentro de la organización, generando una cultura de la seguridad coherente e
involucrando a todos en este proceso. Todas las normas y procesos deben ser
informados de manera intuitiva a los usuarios para su correcta aplicación.
La mejor
política de defensa informática es la formación de los usuarios en esta
materia, ya que ellos son el principal perímetro a proteger y el eslabón más
débil de la cadena en el proceso de seguridad de la información. Se debe educar
a los usuarios para que identifiquen y prevengan los ataques de ingeniería
social.
Esta
actividad se refuerza a través de la formación y concienciación de los miembros
de la organización en materia de seguridad de la información, involucrándoles
en el acatamiento de las políticas de seguridad aplicadas por la organización,
inculcando la cultura de la seguridad dentro de la organización, y hacer
entender que estas medidas acarrean beneficios a nivel profesional dentro de la
empresa y a nivel personal mediante el uso correcto y seguro de la tecnología.
Referencias
Manual de Seguridad en Redes. Coordinación de Emergencias en Redes Telemáticas. Administración Pública Argentina. Disponible en http://instituciones.sld.cu/dnspminsap/files/2013/10/Manual-de-Seguridad-de-Redes.pdf
Material del curso Redes y Seguridad del Servicio Nacional de Aprendizaje SENA. Disponible en http://oferta.senasofiaplus.edu.co/sofia-oferta/detalle-oferta.html?fm=0&fc=9CMnBjMmR6g
Normatividad en las organizaciones. Politicas de seguridad de la informacion parte I. Seguridad. Cultura de prevención para TI. Nro. 16. Imagen y reputación pag. 15. Disponible en https://revista.seguridad.unam.mx/sites/default/files/revistas/pdf/Seguridad_Num16_0.pdf
Normatividad en las organizaciones. Politicas de seguridad de la informacion parte II. Seguridad. Cultura de prevención para TI. Nro. 17. Imagen y reputación pag. 17. Disponible en https://revista.seguridad.unam.mx/sites/default/files/revistas/pdf/Seguridadnum17.pdf
No hay comentarios.:
Publicar un comentario