Conozca las etapas básicas para la creación de un plan que
sea efectivo a la hora de proteger los datos corporativos
El desarrollo de un plan de seguridad para la información
corporativa comienza con una premisa: la información es un importante
patrimonio y debe ser protegida. Las empresas, generalmente, no logran llegar
al nivel de protección correspondiente al verdadero valor de los datos, y
mientras algunas informaciones están superprotegidas, otras muy valiosas no
tienen la protección adecuada. Lograr el nivel de resguardo apropiado exige el
desarrollo, la adopción y la implementación de un plan.
Etapas para el desarrollo de un plan
Las organizaciones que conocen cómo utilizar y evaluar la
información corporativa consideran el proceso de planeamiento de seguridad
relativamente fácil. Aquellas que no saben cómo hacerlo y esperan encontrar una
solución rápida, posiblemente se encuentren con un proceso penoso. Estas cinco
etapas básicas pueden ser útiles para el desarrollo de un plan de seguridad de
información:
Identificar los tipos de información que exigen protección
Estimar el valor de la información perteneciente a cada tipo
Desarrollar/actualizar una política de seguridad de
información que exija la protección según el tipo de información
Definir estándares de protección para cada tipo de
información
Crear estándares de monitoreo y administración para
verificar la adecuación con los estándares de protección de la información
A medida que las organizaciones realizan estas etapas, el
procedimiento de la evaluación de riesgos es esencial para los siguientes
aspectos:
Identificar la información que exige protección
Establecer el valor de esa información en términos de costo
de creación, recreación, divulgación o modificación no autorizada
Proyectar mecanismos de protección que identifiquen los
riesgos residuales
Analizar los riesgos/beneficios de los costos residuales
relativos a la protección de un determinado tipo de información
Establecer medidas de protección adicionales para lograr un
mayor nivel de seguridad
Las evaluaciones de los riesgos es parte del programa total
de administración de riesgos que la compañía aplica a otras partes de sus
operaciones. Así como ocurre con otras actividades de administración de
riesgos, la evaluación de la importancia de una información debe ser realizada
siempre que hubiera modificaciones en el uso, en el almacenamiento o en el
procesamiento. Los resultados de la evaluación de riesgo pueden causar impacto
y exigir actualizaciones en el plan general de seguridad de la información y
también la adecuación de los requisitos de ese plan.
Retorno de inversión
Aunque un plan de seguridad de información exija una
inversión inicial, una implementación y una administración, el costo que esto
significa puede justificarse al considerar el impacto causado en los negocios
en caso de que la información valiosa sea comprometida en virtud de robo,
destrucción o modificación. De estos casos, el robo y la modificación son,
probablemente, los más perjudiciales - asumiendo que un plan de backup de datos
haya sido implementado.
El impacto causado por el robo de información por un
competidor es relativamente fácil de entender, mientras que los efectos del
impacto generado por la modificación de la información son menos obvios. La
sutil modificación en la información puede ser perjudicial, afectando decisiones
u operaciones, y resultando en daños financieros para la organización.
Comunicación
El proceso en el que se desarrolla un plan de seguridad de
información puede ser fácil o difícil, dependiendo de la política de la
organización y de las personalidades involucradas en la protección de la
información. El desarrollo de un plan de seguridad no está particularmente
orientado desde el punto de vista técnico; se trata, principalmente, de una
tarea administrativa y "política".
Perspectiva administrativa: identificación y evaluación de
la información; designación de los riesgos aceptables en términos de su valor y
del nivel de protección ofrecido.
Perspectiva política: conseguir la cooperación referente a
la adopción de nuevas medidas y al plan final, antes de su efectiva adopción e
implementación.
El desarrollo, la adopción, la implementación y la administración
de un plan de seguridad de información sólo son efectivos si se aprovechan
ampliamente y si se comunican públicamente a la mayor parte del área de
administración de la organización.
La aprobación requerida incluye el apoyo verbal, por escrito
y también financiero. La necesidad, o impacto, los requisitos y beneficios de
realizar el proyecto y la implementación de un plan de seguridad de información
necesitan ser abiertamente y regularmente comunicados a los usuarios de la
información, como parte de un proceso normal de concientización sobre la
seguridad.
El apoyo financiero es necesario para posibilitar el
desarrollo inicial del plan, su adopción e implementación, y también para
garantizar la continua administración y monitoreo de la infraestructura de
protección de la información, a lo largo del tiempo.
Por J. Stuart Broderick, PhD, profesional de Symantec,
especial para VARBusiness
No hay comentarios:
Publicar un comentario