La
información necesaria para desarrollar las actividades de nuestro negocio puede
verse afectada por diferentes riesgos y amenazas que pueden proceder del
interior o el exterior de la organización.
Los riesgos
deben identificarse, analizarse, gestionarse y minimizarse, con el fin de
mantenerlos en un nivel aceptable por la organización. Cuando los riesgos no
son adecuadamente identificados y valorados, puede comprometerse la continuidad
del negocio, afectar negativamente la confianza de los clientes y la imagen de
la organización.
Es increíble
la cantidad de organizaciones que no le prestan la suficiente atención a los
aspectos de la seguridad en la tecnología y es labor obligada de quienes nos
interesamos por este tema, informar y promover un cambio de perspectiva que
tome más en cuenta este tema tan importante, mas aun hoy en día cuando la vinculación
de la tecnología en los procesos de la organización son más fuertes y las
amenazas son más abundantes y frecuentes.
Evitar en lo
posible el uso del usuario administrador en los sistemas operativos, usar
contraseñas que cumplan con criterios básicos de robustez, mantener los
sistemas operativos y las aplicaciones actualizadas, evitar el uso de
configuraciones por defecto en los dispositivos tecnológicos, evitar el uso de
memorias portátiles en equipos públicos como cibercafés, evitar el uso de
dispositivos inteligentes para dar conexión a Internet, utilizar diferentes
contraseñas para diferentes servicios y dispositivos, evitar publicar fotografías
que muestren aéreas sensibles de la organización son algunas medidas básicas de
obligatorio complimiento que deben ser incluidas en las políticas de seguridad informática
de la organización para mitigar los riesgos más comunes a la seguridad de la organización.
En la
actualidad las nuevas tecnologías disponibles han cambiado de forma radical la
manera en que se hacen los negocios, a la vez que han aumentado los riesgos
para las empresas que se exponen a nuevas amenazas, facilitadas y potenciadas
por esta misma tecnología.
No toda la
información de la que disponemos en la organización tiene el mismo valor ni
está sometida a los mismos riesgos, por ello es necesario realizar una
valoración adecuada de los riesgos a los cuales están expuestos los activos de
información identificados.
La
valoración de riesgos debe ser sometida a una continua evaluación para evitar
su obsolescencia y mantener altos los valores de riesgo que con el tiempo se
pueden hacer poco probables de ocurrir o proteger activos que han perdido
valor.
La
valoración de los riesgos, al igual que todo el conjunto de medidas de seguridad
informática que se implemente en la organización, debe implicar a todos los
miembros de la organización, especialmente a la directiva, que es la encargada
de conocer y valorar los riesgos, así como de poder gestionar las políticas
necesarias para su aplicación.
La correcta
valoración de riesgos permite dimensionar las medidas de protección que deben
ser aplicadas a un activo de información, además de permitir evaluar la
efectividad de las medidas de protección adoptadas.
La gestión
de los riesgos a través de las normas y metodologías de la seguridad
informática permite mantener la confidencialidad, integridad y disponibilidad
de la información ante los usuario de la organización, los clientes y otros
interesados.
Al
identificar y valorar adecuadamente los riesgos, se posibilita la aplicación de
medidas de seguridad informática que permiten reducir el impacto y los daños
causados en caso de que se materialicen las amenazas.
Otra de las
ventajas de la valoración de riesgos es que se produce una racionalización de
los costos debido al ahorro producido por el uso optimo de los recursos
destinados a atender los riesgos con mayor valoración y minimizando los gastos
ocasionados por los recursos invertidos en la protección de activos de
información poco valorados o con riesgos poco probables de ocurrencia.
Una correcta
valoración de los riesgos permite a la organización mantener su competitividad
en el mercado ya que permite la continuidad del negocio y facilita la
recuperación ante cualquier tipo de incidente que se presente.
Involucrar la
cultura de la seguridad informática en la organización es uno de los puntos más
importantes en la aplicación de cualquier metodología de seguridad, ya que se
puede a través de ella concienciar e informar a los empleados y miembros de la
empresa para que tomen medidas preventivas que les permita proteger su información
profesional, la información de la organización y proteger su información
digital en los diferentes medios tecnológicos y redes sociales donde se
involucren.
REFERENCIAS
Revista
Seguridad de la UNAMCERT. Disponible en https://revista.seguridad.unam.mx/
Taxonomía de
soluciones de ciberseguridad. INCIBE. Disponible en https://openlibra.com/es/book/taxonomia-de-soluciones-de-ciberseguridad
No hay comentarios.:
Publicar un comentario