RSS

Implementación de las PSI (Parte 1):

10 Sep

Navegando, investigando e informándome como siempre hago antes de realizar un post, me di cuenta que de PSI hay muchísimo material por suerte, no es nada nuevo ni es un hallazgo pero lo que más llamó mi atención fue que no hay mucha información disponible acerca de la implementación de las PSI sobre el hardware móvil que las empresas nos otorga como herramientas de trabajo. No se si no es un tema que no abunda mucho, tal vez fue una falla mía en la búsqueda y es por eso que no encontré mucho material acerca del mismo.

El post de hoy iba a ser otro realmente pero releyendo artículos de hace un tiempo atrás los cuales hacen referencia sobre la fuga de información y/o vulnerabilidades del hardware móvil, me hizo replantear el post y cambiarlo por este, tal vez no sea el más apropiado pero me parece un tema no menos importante, ya que cada vez es mayor el porcentaje de fuga de información en las empresas, los ataques internos, el hardware infectado y muchas veces esto es consecuencia de una PSI que no es aplicada de la forma correcta, falta de información de los empleados, grave falencia de las políticas que no abarcan este tipo de hardware y/o el software del mismo, etc.

Uno de los artículos que llamó mi atención fue uno escrito por Nicolás Ramos de Ernst & Young, intitulado “Un jefe a su empleado: “Si vuelve a traer su notebook a la oficina, lo echo””, artículo en el que relata como cada vez es más común que directivos o ciertos empleados dentro de la organización hagan uso de notebooks, pdas, blackberrys y dispositivos similares los cuales pueden sufrir ataques de todo tipo tales como interferencias o robos; y todo esto es provocado o causado porque dichos dispositivos se encuentran fuera del rango de alcance o fuera del control de las PSI que las organizaciones implementan.

Qué quiero decir con esto? Que es necesario pensar en conjunto, tener presente los ordenadores personales, los datos y las redes. Hay que establecer una política clara sobre quien recibe cada dispositivo móvil, como puede utilizarlo, que tipo de acceso a la red tendrá y como se aplicarán estas políticas. Se estima que menos de la mitad de las empresas gozan de directrices de seguridad para dispositivos móviles o saben cómo proteger los datos críticos de los aparatos móviles de sus empleados.

La seguridad de los dispositivos móviles se la puede plantear en dos niveles:

  • A nivel de red corporativa: el software de gestión de dispositivos mantiene y controla los accesos a cada aparato y permite bloquear o denegar el acceso a un aparato perdido.
  • El otro nivel parte de cada aparato: hay diversas soluciones de seguridad disponibles para dispositivos móviles como por ejemplo la encriptación, la autenticación de identidad mediante PINs, tarjetas inteligentes, lectores dactilares y biométricos, el bloqueo de acceso de cualquier dispositivo que se pierda o la implantación de programas antivirus.

Éstas sólo son algunas sugerencias, por supuesto hay que reforzarlas ya que cada vez existen más herramientas que permiten vulnerarlas.

Éste es sólo por citar un ejemplo entre los tantos que hay, es por este motivo y muchos otros la importancia de la cultura, concientización y ética en nuestro personal desde la cabeza de la pirámide hasta la base, si las personas que toman este tipo de decisiones no son conscientes de que este tipo de hechos ocurre y que desgraciadamente es más común difícilmente podamos aplicar las PSI de una manera correcta, ya que si nuestros empleados que son la base de la pirámide no tienen conocimientos sólidos y acompañan esto con acciones nuestra empresa y políticas no están apoyado sobre algo fuerte y estable.

Qué podemos hacer con nuestro personal?:

  • Garantizar la concientización continuada de la política:

Esta etapa comprende realizar esfuerzos continuos para garantizar que las personas están conscientes de la política y buscan facilitar su cumplimiento. También incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación sobre el control realizado para su cumplimiento.

  • Seguimiento y reporte del cumplimiento de la política:

Durante esta fase de mantenimiento, la etapa de monitoreo se la realiza para seguir y reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta información se obtiene de la observación de los empleados y los cargos de supervisión, mediante auditorías formales, evaluaciones, inspecciones, revisiones y análisis de los reportes de contravenciones y de las actividades realizadas en respuesta a los incidentes. Esta etapa también incluye actividades continuas para hacer un seguimiento del cumplimiento o no de las políticas a través de métodos formales e informales y el reporte de las deficiencias encontradas a las autoridades apropiadas.

  • Afrontar las contravenciones de la política:

Esta etapa de garantía de cumplimiento de las PSI incluye las respuestas de la administración a actos u omisiones que tengan como resultado contravenciones de la política con el fin de prevenir que sigan ocurriendo. Esto quiere decir que una vez una contravención sea identificada, la acción correctiva debe ser determinada y aplicada a los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a las personas (acción disciplinaria) involucrados en la contravención con el fin de reducir la probabilidad de que se vuelva a cometer el mismo error. Es recomendable incluir información sobre las acciones correctivas adelantadas para garantizar el cumplimiento en la etapa de concientización.

  • Asegurar que la política esté actualizada:

La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y la integridad de la PSI. Esto incluye hacer seguimiento de las tendencias de cambios (cambios en la tecnología, en los procesos, en las personas, en la organización, en el enfoque del negocio, etc) que puede afectar la política; recomendando y coordinando modificaciones resultado de estos cambios, documentándolos en la política y registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad continuada de la política para todas las partes afectadas por ella, al igual que el mantenimiento de la integridad de la política a través de un control de versiones efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben ser re – visitadas, en particular las etapas de revisión, aprobación, comunicación y garantía de cumplimiento.

Creo que estos elementos pueden ayudar a ir mejorando de a poco nuestras PSI e ir corrigiendo algunas falencias que se vayan presentando a medida que hacemos un control o un seguimiento.

Hasta la segunda parte …

 
 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

 
A %d blogueros les gusta esto: