Hoy publico la segunda parte del artículo: 7 pasos a seguir para garantizar la seguridad de la informacion en la empresa, de forma fácil y ágil. Si te has perdido la primera parte, la encontrarás publicada en mi blog. Espero te sirva de ayuda.

 

4. Analiza cuales son los riesgos a los que expones la información

Lo que sigue es un esbozo de las principales categorías que causan perdidas de datos. Cada vez que leemos alguna noticia de fuga de información, se ha producido por alguno de estos incidentes. No es necesario hacer una lista exhaustiva o infinita, si no coger prespectiva para, posteriormente, implementar un modelo de protección de la información.

Vamos a agruparlos según grupos generales y al lado tendremos que detallar cuales son las posibles soluciones frente a cada uno de los riesgos, te muestro algun ejemplo:

  • Perdida o robo: Pérdida de discos con las copias de seguridad, pérdida o robo de ordenadores, servidores o dispositivos móviles, robo de llaves de memoria USB, flash, SD
  • Revelacion de información accidental: Datos enviados a través de correo electrónico, datos expuestos involuntariamente, ya sean publicados en la pagina web o en archivos compartidos sin seguridad, datos filtrados a través de conexiones inseguras, redes wifi publicas o bluetooth, datos filtrados al compartir archivos con aplicaciones ilegales o de dudosa procedencia
  • Ataques externos o fugas de información: Robo de datos,ataque a los sistemas,fuga de la base de datos,fuga por defecto de la programación
  • Agente interno malicioso: Fuga de datos a través del correo personal, or almacenamiento externo o por un empleado o colaborador,

Y a continuación, valora los costes de las pérdidas, aquellas que son cuantificables como los costes de notificación, los costes de cumplimiento o de corrección, futuros negocios o continuidad de la empresa. Y las pérdidas cualificables, aquellas que existen y afectan como: daños a la reputación, perdida de negocios futuros, perdida de ventas, confianza del cliente.

5. Valora los datos por importancia y por uso, de mayor a menor

La seguridad se usa para gestionar el riesgo,  permite a las organizaciones asumir el mayor nivel de riesgo posible, de la forma mas segura posible. Tiene por objetivo limitar las perdidas, pero no podemos limitar las perdidas si no conocemos el valor de lo que se puede perder y no podemos predecir.

Daremos un valor a los datos en función del numero de usuarios que  y de la frecuencia de uso. A mayor frecuencia, mas valor y mayor exposición al riesgo.

Te mostrare ejemplos de datos a considerar en la empresa:

Números de tarjetas de crédito, números de cuentas bancarias, información sanitaria de alumnos, propiedad intelectual secretos comerciales, datos de ventas, esquemas de productos o datos de clientes.

6. Redacta el documento de políticas de uso de la tecnología

Si ya tienes un esquema de los usuarios, un esquema de los equipos, has analizado la información y también has detallado los riesgos a los que se exponen todos los elementos. ¿A que esperas? Redacta un documento interno de normativa de uso de la tecnología que incluya las instrucciones a seguir en todos los ámbitos de la organización y para todas las personas que la integran.

Explicalo, debes tener en cuenta que tiene que estar bien redactado, ha de ser comprensible, es muy importante que se entienda y que puedas responder todas las dudas que surjan. Aplicalo, revísalo periódicamente y adecualo a las necesidades normativas, empresariales y personales. No lo dejes en un cajón archivado.

7. La clave: formar a todo el personal

Si ya has definido el documento / normativa de uso interno de la tecnología en el que se detallan los recursos y los procedimientos a seguir para garantizar la confidencialidad, la disponibilidad y la integridad de los datos que se manejan en la empresa y a la vez, te ayuda a proteger al usuario y a la organización de los riesgos conocidos y desconocidos a los que se expone, es el momento de formar a todo el personal implicado.

Con un buen programa de capacitacion en seguridad de la información y en conceptos fundamentales de tecnología, seguridad y protección de la información, en lenguaje comprensible y adaptado a la empresa, detectaras un aumento de la efectividad.

La formación debe plantearse como una necesidad de disponer de personal cualificado y adaptado a los constantes cambios tecnológicos, capaces de afrontar las nuevas exigencias del mercado y con conocimientos generales de los riesgos empresariales que supone la perdida de información, de como debe ser tratada, compartida, transmitida y almacenada.

La inversion en seguridad de la información, otorga beneficios empresariales significativos y constantes.

Mi ultimo consejo en este post: como decía Benjamin Franklin:

Dime y lo olvido, enséñame y lo recuerdo, involúcrame y lo aprendo.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Share This