Protección de la información: ¿Inseguridad por falta de buenas prácticas?
Reciente revisando un documento publicado por el responsable del gobierno electrónico de los Estados Unidos, se establecen los 10 riesgos más relevantes que no permiten una adecuada protección de la información. Podríamos decir que estas 10 declaraciones establecen como un decálogo de "pecados" que potencian la inseguridad informática en las organizaciones.
Esto quiere decir que si se atacan estas 10 afirmaciones expuestas en el documento sólo se avanzará en la batalla contra la inseguridad de la información, pues siempre existe la variable o contexto no contemplado que permite nuevamente una situación que nos exige pensar en alternativas para mantener un nivel de inseguridad informática aceptable. Dicho de otra manera un nivel de exposición al riesgo que podemos aceptar y manejar, teniendo en cuenta que si se materializa dicho riesgo, las consecuencias son claras y previstas por la organización (hasta donde sea posible).
El documento de la Oficina de Gobierno Electrónico de USA, es la muestra evidente de que en el gobierno existe la preocupación por el tema de la inseguridad de la información y que ésta hace parte de los planes estratégicos de la nación, como una ruta crítica para mantener la funcionalidad y operatividad de la nación. Aunque frecuentemente las brechas de seguridad de datos y sistemas son objeto de noticias internacionales.
Si bien Colombia no es una nación de primer mundo, poco a poco a venido desarrollando una infraestructura importante de computación (y telecomunicaciones) y operación donde participan los bancos, las empresas de telecomunicaciones, el mismo gobierno, la academia y la empresa privada. En este sentido, pensar en un ejercicio de evaluación sobre lo que llamaríamos infraestructura crítica de la nación, basado en
un análsis sistémico de los diferentes sectores productivos serían útil para dimensionar los esfuerzos de continuidad que requiere la nación ante un incidente que afecte la infraestructura mencionada.
Finalmente y para mantener el foco de esta reflexión, los riesgos sugeridos por el informe de la oficina de gobierno electrónico de USA, debería ser materia de análisis de nuestra Agenda de Conectividad, quien se encuentra a cargo de este tema, para que se inicie la reflexión requerida alrededor del tema con todos los actores involucrados en esta problemática.
Los 10 riesgos propuestos por el documento son estos:
1. Security and privacy training is inadequate and poorly aligned with the different roles and responsibilities of various personnel.
2. Contracts and data sharing agreements between agencies and entities operating on behalf of the agency do not describe the procedures for appropriately processing and adequately safeguarding information.
3. Information inventories inaccurately describe the types and uses of government information, and the locations where it is stored, processed or transmitted, including personally identifiable information.
4. Information is not appropriately scheduled, archived, or destroyed.
5. Suspicious activities and incidents are not identified and reported in a timely manner.
6. Audit trails documenting how information is processed are not appropriately created or reviewed.
7. Inadequate physical security controls where information is collected, created, processed or maintained.
8. Information security controls are not adequate.
9. Inadequate protection of information accessed or processed remotely.
10. Agencies acquire information technology and information security products without incorporating appropriate security and privacy standards and guidelines.
Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=300001663
Esto quiere decir que si se atacan estas 10 afirmaciones expuestas en el documento sólo se avanzará en la batalla contra la inseguridad de la información, pues siempre existe la variable o contexto no contemplado que permite nuevamente una situación que nos exige pensar en alternativas para mantener un nivel de inseguridad informática aceptable. Dicho de otra manera un nivel de exposición al riesgo que podemos aceptar y manejar, teniendo en cuenta que si se materializa dicho riesgo, las consecuencias son claras y previstas por la organización (hasta donde sea posible).
El documento de la Oficina de Gobierno Electrónico de USA, es la muestra evidente de que en el gobierno existe la preocupación por el tema de la inseguridad de la información y que ésta hace parte de los planes estratégicos de la nación, como una ruta crítica para mantener la funcionalidad y operatividad de la nación. Aunque frecuentemente las brechas de seguridad de datos y sistemas son objeto de noticias internacionales.
Si bien Colombia no es una nación de primer mundo, poco a poco a venido desarrollando una infraestructura importante de computación (y telecomunicaciones) y operación donde participan los bancos, las empresas de telecomunicaciones, el mismo gobierno, la academia y la empresa privada. En este sentido, pensar en un ejercicio de evaluación sobre lo que llamaríamos infraestructura crítica de la nación, basado en
un análsis sistémico de los diferentes sectores productivos serían útil para dimensionar los esfuerzos de continuidad que requiere la nación ante un incidente que afecte la infraestructura mencionada.
Finalmente y para mantener el foco de esta reflexión, los riesgos sugeridos por el informe de la oficina de gobierno electrónico de USA, debería ser materia de análisis de nuestra Agenda de Conectividad, quien se encuentra a cargo de este tema, para que se inicie la reflexión requerida alrededor del tema con todos los actores involucrados en esta problemática.
Los 10 riesgos propuestos por el documento son estos:
1. Security and privacy training is inadequate and poorly aligned with the different roles and responsibilities of various personnel.
2. Contracts and data sharing agreements between agencies and entities operating on behalf of the agency do not describe the procedures for appropriately processing and adequately safeguarding information.
3. Information inventories inaccurately describe the types and uses of government information, and the locations where it is stored, processed or transmitted, including personally identifiable information.
4. Information is not appropriately scheduled, archived, or destroyed.
5. Suspicious activities and incidents are not identified and reported in a timely manner.
6. Audit trails documenting how information is processed are not appropriately created or reviewed.
7. Inadequate physical security controls where information is collected, created, processed or maintained.
8. Information security controls are not adequate.
9. Inadequate protection of information accessed or processed remotely.
10. Agencies acquire information technology and information security products without incorporating appropriate security and privacy standards and guidelines.
Fuente: http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=300001663
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!