29 abril 2016

(ISC)² orienta: Cinco acciones que todo gestor de Seguridad de la Información debe desarrollar

(ISC)²®, principal instituto del mundo dedicado a la educación y a las certificaciones profesionales en seguridad de la información y ciberseguridad, sugiere que los gestores de seguridad de la información desarrollen algunas acciones para anticipar tendencias, evitar ataques y preservar el valor de los datos internos de las organizaciones.

“Los ciberataques están cada vez más sofisticados y el tema viene ganando destaque mundial. Es necesario priorizar la educación y a concienciación de los usuarios para evitar la fuga de informaciones estratégicas de la empresa”, afirma Walmir Freitas, miembro del Consejo Consultivo de (ISC)² para América Latina.

Vea a seguir las cinco acciones recomendadas:



1 - Conozca las prioridades de la empresa

El primer paso para una estrategia de seguridad de la información bien elaborada es conocer a fondo el ambiente y el escenario en que actúa la organización, siendo necesario entender la relevancia y el perfil de la información para establecer criterios de sigilo y criticidad. Todas las áreas de la organización deben participar para que haya una comprensión completa del ambiente de la organización. “Los niveles de acceso deben decidirse en conjunto y deben seguir una jerarquía clara para que los usuarios tengan acceso tan solo a lo que necesitan y no comprometan el sigilo ni la integridad de la información”, dice Walmir Freitas, miembro del Consejo Consultivo de (ISC)² para América Latina.



2 - Cree reglas simples y claras

Las reglas de utilización y acceso a la información deben ser simples, claras y objetivas para que todos los usuarios sean capaces de entenderlas y aplicarlas. Para cumplir las reglas con comprometimiento, las personas necesitan entender los impactos posibles de su no cumplimiento. Estas reglas deben considerar jerarquía, normas, políticas y procedimientos de la organización, además de las necesidades diarias de los usuarios.



3 - Capacítese y comunique

La formación continua es una etapa importante de la estrategia de la Seguridad de la Información. Los usuarios necesitan tener acceso a las reglas y políticas de la empresa para eventuales consultas y deben estar siempre actualizados sobre cualquier cambio que pueda ocurrir. Los mensajes de email, comunicados, murales y capacitaciones permiten que los usuarios mantengan las directrices de seguridad en mente y entiendan las consecuencias de sus actitudes, evitando así la fuga intencional o no de informaciones.



4 - Utilice las herramientas correctas

Existen diversas herramientas de control preventivo y de detección de amenazas a la seguridad de la información. Las herramientas de control preventivo engloban el bloqueo anticipado de las amenazas e iniciativas educacionales para los usuarios. Ya las de control de detección supervisan las acciones para entender el comportamiento de los usuarios y ayudan a acompañar los cambios diarios de las empresas. Ellas automatizan el proceso, evitan la fuga y la pérdida de datos con base en las normas previamente establecidas. Sin embargo, su uso debe hacerse de manera asertiva para que no haya un impedimento excesivo al acceso que perjudique el desarrollo del trabajo y ni sea demasiado libre, para que no haya fugas.



5 - Liderar con el ejemplo

Las personas tienden a dar más importancia al ejemplo que a las reglas, por eso los gestores tienen un papel fundamental en la difusión de las políticas de seguridad de la información de la empresa. Los gestores deben ser bien entrenados en las normas y políticas, demostrando su aplicación en el día a día, orientando a los usuarios sobre las consecuencias de sus acciones y generando un ciclo de aprendizaje. Los empleados que ven a sus gestores como ejemplos a seguir tienden a representar menos riesgos de fugas de información y a presentar un mejor desempeño.

No hay comentarios:

Publicar un comentario en la entrada