FORTALECIENDO LA SEGURIDAD DE LA INFORMACIÓN: UN PROCESO A LARGO PLAZO

Seguridad de la información | Asegurar la infraestructura de su red y aplicaciones es un proceso a largo plazo. Cuando elija los dispositivos correctos para la seguridad de redes y soluciones de seguridad para aplicaciones, su empresa debe entender primero sus propias necesidades, incluyendo la confidencialidad, nivel de sensibilidad de los datos que maneja, dónde se localiza actualmente la información y dónde estará en un futuro, cómo se accede a los datos y qué tan accesible debe ser la información. A partir de ello, su empresa debe generar una lista de requerimientos y especificaciones de alto nivel para la solución.

Lo siguiente es calcular los costos asociados con la revelación de datos sensibles o la pérdida del acceso a información importante, y crear un presupuesto para la solución que, de forma razonable, disminuya los riesgos. Estos dos elementos permiten tomar decisiones informadas y ayudan en la implementación apropiada de la solución. A partir de los requerimientos y factores de costo, usted puede generar medidas exitosas. Tener los dispositivos de seguridad de red apropiados y soluciones para las aplicaciones de seguridad es muy importante, pero claro, no son una solución completa. Los controles de seguridad de redes deberían reforzar, automáticamente, los elementos técnicos de las políticas de seguridad, tales como contraseñas complejas, autenticación, autorización, sistemas de monitoreo y alertas, detección de paquetes, listas de control de acceso y mucho más. Además, las personas que usan el sistema deben ser entrenadas para desempeñar sus funciones en forma competente. Usted debe diseñar, reforzar y auditar apropiadamente los procedimientos y políticas que definen las acciones que deben llevarse a cabo.

“Cuando elija los dispositivos correctos para la seguridad de redes y soluciones de seguridad para aplicaciones, su empresa debe entender primero sus propias necesidades”

Cuando todas las partes están en su lugar, logran una solución integrada segura en vez de una solución secundaria para la empresa.

Aquí hay otro ejemplo de lo que puede salir mal cuando se descuida el aspecto humano de la seguridad de la información como parte del proceso de planeación. Trabajé para una compañía que era subcontratada para dar servicios de operaciones a sus socios. Una doctora estaba transcribiendo sus notas acerca de un paciente y el servicio de transcripción que ella utilizaba era subcontratado en dos niveles: el primero, a la empresa que manejaba las transcripciones y el segundo, otra vez a la empresa que manejaba el almacenamiento de datos para esas transcripciones. Alguien en esa empresa de almacenamiento de datos, guardó la información en la ubicación incorrecta y de pronto, la información privada del paciente estuvo disponible en Google.

“¿Tenía esta empresa todo bajo control, lo cual pudo haber evitado comprometer la información privada del paciente?”

Implementar medidas sólidas de seguridad requiere tiempo y esfuerzo. Si su empresa no está a la altura y usted necesita estarlo, debe ir paso a paso. No puede hacer todo en un fin de semana o en un mes. Descifrar cómo planear ese acercamiento a largo plazo, de forma efectiva, es esencial.