SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

15 jun 2007

Segu-Info » » Cinco maneras de mejorar la seguridad de su información

Cinco maneras de mejorar la seguridad de su información

15 jun 2007, 3:19:00 p.m.   Comenta primero!
   

Muchos gerentes empresariales creen que la seguridad es un tema del departamento de TI, y se olvidan de que la “I” viene de “información”. Desde hojas de balances hasta números de venta de diseños de producto, la información es el alma de su negocio. Si personas no autorizadas tienen acceso a la misma, no solamente el departamento de TI sufre las consecuencias. A continuación se enumeran cinco pasos que los ejecutivos en finanzas, ventas, marketing y operaciones pueden tomar para reducir la vulnerabilidad a riesgos graves.

Sí, algunos gerentes empresariales sí reconocen la importancia de la seguridad. Pero ponen sus esperanzas en un único sistema o política como la respuesta a sus necesidades."Desafortunadamente no hay una bala mágica," sostiene Mounil Patel, director de investigación para la seguridad en información y servicios en la firma de análisis Aberdeen Group Inc. con sede en Boston. "Se debe tomar un enfoque por etapas y estratégico (de seguridad) regularmente."

Sin embargo, ese consejo no debe ser abrumador. Los siguientes cinco consejos de expertos en seguridad pueden ayudar a los gerentes de finanzas, ventas, marketing y operaciones a integrar las necesidades de seguridad de información en sus funciones diarias:

1. Forje una sociedad con los expertos en seguridad

Los líderes empresariales y los profesionales de TI, que llevan a adelante la seguridad, tienen diferentes y a veces contradictorias prioridades. Por ejemplo, los ejecutivos de operaciones buscan hacer procesos más rápidos y más eficientes. Sin embargo, la seguridad consiste en hacer procesos más seguros, lo que puede hacerlos más lentos. Como resultado, los gerentes de operaciones a veces tratan al grupo de TI como adversarios en vez de como socios cuando se trata de seguridad. Lo mismo se puede aplicar a los ejecutivos de marketing, el 56 % de los cuales dicen que nunca han consultado al grupo interno de privacidad de información de su empresa, según un estudio de septiembre de 2006 de negocios estadounidense del The Ponemon Institute LLC, una organización de investigación en administración de información con sede en Elk Rapids, Michigan.

Permitir que persistan tales tensiones es peligroso. Para lograr que su compañía tenga el equilibrio adecuado entre eficiencia y seguridad, aliente a los ejecutivos empresariales a dar roles de asesor a los profesionales de TI en las reuniones de departamentos y discusiones de planes. Los asesores de seguridad de TI pueden resaltar los riesgos potenciales y proponer soluciones antes de que surjan los problemas.

2. Establecer políticas de protección de información fuertes y proporcionar la capacitación del empleado

Leyes como el Acta de Privacidad de Comunicaciones Electrónicas de los Estados Unidos y la Directiva de Protección de Información de la Unión Europea exigen que las organizaciones protejan la información confidencial del empleado y del cliente. Las compañías que no se ajustan, tienen que enfrentar penas rígidas y reducir los valores del stock (sin mencionar, la vergüenza pública). La responsabilidad final para cumplir dichos mandatos de protección de la información yace en el oficial financiero de la organización, pero cualquier senior manager cuyo personal guarda información legalmente protegida (como por ejemplo HR y ejecutivos de ventas) tiene una participación en la conformidad de control también.

Los empleados son los responsables de un 50 a 70% de las perdidas de información típicas de una organización, sostiene Khalid Kark, un analista senior en Forrester Research Inc., de Cambridge, Massachussets. La mejor manera de reducir ese número en la compañía, aconseja Kark, es seguir los siguientes pasos:

  • Políticas de seguridad total y privacidad, que deberían cubrir los usos apropiados e inapropiados de la información sensible y las prácticas seguras para manejar la información privada, entre otros temas.
  • Capacitar a los empleados tanto en políticas como en prácticas seguras de computación. Sólo el 36% de las compañías mundiales proporcionan una conciencia de seguridad a sus empleados, según un estudio en el 2006 sobre seguridad de información por CIO y PricewaterhouseCoopers LLC.
  • Cumplir activamente las políticas. Los empleados necesitan una prueba visible de que la administración maneja la seguridad seriamente y que castigará a los que rompan las reglas: las penas por incumplimiento deben incluso incluir el despido.

En especial, los vendedores deben recibir una capacitación detallada sobre las prácticas de protección de información de su compañía, ya que pueden recibir ese tipo de preguntas de clientes ansiosos. Sus vendedores deben sentirse cómodos al responder preguntas relacionadas a la privacidad, sostiene Richard Feingold, un consultor en seguridad senior en la empresa consultora de administración y tecnología SiloSmashers Inc. de Fairfax, Virginia. Además, deberían saber a quién contactar en su organización de TI para preguntas más complejas sobre las tecnologías de seguridad y políticas de su compañía.

3. Implemente herramientas automáticas de protección de la información

Incluso los empleados capacitados y bien-intencionados cometen errores, así que asegúrese de complementar la educación con tecnologías automáticas que protejan su privacidad y seguridad. Las compañías que utilizan sistemas de protección de información experimentan un 13% menos de eventos de seguridad y vulnerabilidades, y una caída del 17.5 % asociada en los costos de trabajo TI, según un estudio global de Aberdeen Group en el 2006.

Comience con lo básico. Productos de Firewall (tales como Microsoft Internet Security and Acceleration Server)mantiene a los intrusos lejos de las bases de datos que contienen información confidencial, y pueden bloquear a la gente de visualizar o guardar información privada en adjuntos cuando usa computadoras públicas. Los productos de seguridad de correo electrónico (como Microsoft Antigen for Exchange) ) ayudan a bloquear los mensajes de salida que contienen textos confidenciales o archivos mientras protegen contra virus peligrosos y otros ataques.

A continuación, considere la implementación de tecnologías más especializadas. Por ejemplo, las herramientas de prevención de pérdida de información (también conocidas como herramientas de prevención de pérdida de datos) monitorean mensajes y archivos al moverse por la red y evitar que los empleados distribuyan información confidencial inapropiadamente. Las tecnologías en administración de derechos (como Windows Rights Management Services for Windows Server 2003 -en inglés-) bloquea a los empleados para que no puedan copiar o imprimir los archivos sensibles.

4. Protéjase contra amenazas de seguridad móviles

Los trabajadores móviles, como la gente de ventas, son vulnerables a una gran variedad de riesgos de seguridad. Por ejemplo, en el último año, el 81 % de las organizaciones han perdido al menos una laptop con información importante, según un estudio del Ponemon Institute en agosto de 2006. Para evitar que información confidencial caiga en las manos equivocadas, exija que los vendedores equipen sus dispositivos móviles con herramientas de encripción, tales como BitLocker technology en Windows Vista.

Además, utilice los sistemas de control de acceso a la red (NAC, por sus siglas en inglés) para evitar que los criminales cibernéticos se conecten con las aplicaciones empresariales de su empresa al usar laptops robadas. Las tecnologías de NAC (como por ejemplo la plataforma Network Access Protection que Microsoft está construyendo en Windows Vista Windows Server "Longhorn") le permiten negar el acceso grupos objetivo de empleados bajo condiciones específicas e inseguras. Por ejemplo, puede elegir dejar a los vendedores fuera del sistema de contabilidad cada vez que salen de la oficina. De la misma manera, si su empresa no tiene una oficina en Asia, puede bloquear las conexiones remotas que se originan de Asia.

5. Evalúe sus aplicaciones de legado

El preocuparse por robos, hackers y pérdida de información ha dado como resultado una nueva generación de aplicaciones empresariales más seguras. Sin embargo, muchos ejecutivos de finanzas y operaciones todavía dependen de sistemas de legado más viejos que a veces carecen de protección contra la visualización, edición y distribución de información confidencial no autorizada. "Es una buena idea visualizar los controles de seguridad para aquellos sistemas y asegurarse de que se ajustan a sus políticas internas," observa Kark. Si otros sistemas fallan esa prueba, pídale a su departamento de TI que los actualice con un código personalizado, o use productos de seguridad de terceros para reforzar sus defensas.

Sobretodo, asegúrese de no tratar la seguridad como un tema que se trata una vez y luego se ignora. "Ahí es cuando la gente se mete en problemas," dice Patel. "La administración de riesgo es un proceso continuo. No es algo que se puede resolver al comprar un paquete y decir que se estará bien por los próximos cinco años."

Por Rich Freeman: escritor independiente que reside en Seattle y se especializa en negocio y tecnología. Tiene más de 14 años de experiencia en marketing estratégico y comunicaciones en la industria de TI.

Fuente: http://www.microsoft.com/latam/technet/articulos/articulos_seguridad/2007/junio/businessmanagers.mspx



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!