Inicio
 > Informes e investigaciones > Blog de TEC > Desafíos en la implementación de las políticas d...

Desafíos en la implementación de las políticas de seguridad en las organizaciones latinoamericanas y caribeñas

Escrito por: Juan Carlos Fondevila Sancet
Publicado: noviembre 7 2011

1. Garantizar la seguridad de la información: un problema común
La información se esta convirtiendo en una porción cada vez más importante de los activos de cualquier organización. El control y la seguridad de la información son, por lo tanto, un tema estratégico importante para las organizaciones, así como un poderoso medio para alcanzar y mantener la fiabilidad y la confianza de sus clientes. Se trata de un factor crucial para la innovación, la competencia y el crecimiento. El control y la seguridad de la información también repercuten en el ámbito financiero, especialmente hoy en día. En este contexto, el Departamento de Seguridad de la Información (DSI) de cada organización debe establecer un Sistema de Gestión de Seguridad de la Información (SGSI) y una Política Global de Seguridad de la Información (PGSI), cuyos principios subyacentes deben hacerse valer a través de las entidades de la organización y por parte de la totalidad de su nómina. Dondequiera que se encuentren  las oficinas administrativas, estos principios deben ser adoptados en cada entidad, en términos organizacionales, procedimentales y en sus dispositivos técnicos. Dado que las necesidades de las organizaciones implican garantizar la seguridad de la información, éstas deben desarrollar documentos de referencia sobre seguridad de la información con el fin de mantenerse dentro del marco de la conformidad normativa. El SGSI, ISO / IEC 27001:2005, y su correlación con la Guía de buenas prácticas para la gestión de la seguridad de la información ISO / IEC 27002:2005 y otros estándares y marcos regulatorios que se utilizan como patrones de referencia. Las empresas de América Latina y del Caribe están comprometidas con la PGSI. Y para aprovechar al máximo de ella, deben tener en cuenta algunos aspectos directamente relacionados con el medio ambiente de América Latina y del Caribe.

2. Políticas de seguridad de la información en América Latina y El Caribe.  Su diseño y planificación
Las siguientes políticas funcionales deben elaborarse, en conformidad con la PGSI, para su aplicación en las empresas de América Latina y del Caribe. Algunas se han puesto en práctica, mientras que otras estan en proceso de ejecución:
• Política global de seguridad de la información.
• Políticas de seguridad de contraseñas.
• Políticas de seguridad física de accesos a los centros de datos y de comunicaciones.
• Políticas de seguridad de  gestión de derechos de acceso de usuarios a los sistemas de tecnología informática (TI).
• Política de seguridad de Internet.
• Política de seguridad de correos electrónicos.
• Políticas de seguridad de eliminación de los equipos de TI.
• Políticas de seguridad del estándar de la industria de tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS) y sus correspondientes políticas.
• Normas de seguridad de la Asociación Mundial de Loterías y sus políticas de seguridad correspondientes.
• Otras ...

Aplicando estas políticas en todas las organizaciones de los países de América Latina y del Caribe, el punto de referencia es común a todos ellas y brinda las siguientes garantías:
• La coherencia global de las medidas de seguridad de la información, las cuales se delinean para la protección óptima del personal y las instalaciones.
• Las políticas que se aplicarán expresan la "protección global de la seguridad" de la organización
• Las políticas de seguridad de la información son consistentes en cada una de las oficinas de la compañía, en términos de organización, medidas técnicas y procedimientos.
• Cada miembro del personal será asistido a la hora de implementar estas políticas dentro de la empresa.
• El mantenimiento de una visión global, constante en el tiempo, garantiza un equilibrio entre los recursos técnicos y financieros que se aplicarán y el nivel de riesgo evaluado.
• Establecer la uniformidad en los procesamientos de la aplicación de las políticas de seguridad, en la selección del equipo adecuado y en la implementación de las soluciones adoptadas.
• Cubriendo las necesidades de preservación de la confidencialidad, integridad y disponibilidad de la información (ISO 27000, 2.19), manteniéndose en conformidad con los requisitos relacionados con la seguridad de la información.

Todas las políticas de seguridad de la información deben ser precisas, con el fin de facilitar su aplicación en el campo, y deben ser diseñadas para ser lo bastante flexibles como para adaptarse a la naturaleza única de cada ámbito de aplicación. El lema que debe abarcar todos los aspectos de la seguridad dentro de la empresa es "coherencia". Para lograr esa coherencia y, por consiguiente para lograr el éxito de la seguridad de la información en las organizaciones, es de suma importancia determinar los detalles de la situación:

1. Adaptarse a las características específicas de los países de América Latina y del Caribe
2. Las tecnologías deben ser evaluadas en términos de su accesibilidad.
3. Los recursos humanos asociados a estas tecnologías deben ser evaluados también.
4. Deben ser tomados en cuenta el contexto económico nacional y regional.


En detalle:

1. Mediante la comprensión de las especificidades propias de cada país, podemos optimizar las fases de ejecución, aplicando el enfoque correcto y la metodología. El objetivo se alcanza con mayor facilidad y eficacia.
2. Hoy en día, no hay diferencia significativa en el acceso a las tecnologías de última generación entre los países del primer mundo y los países emergentes.
3. Los recursos humanos "calificados” son escasos, lo cual es una carga para el departamento que los gestiona y un retroceso en lo que respecta a los planes de programación. Por tanto, existe una urgente necesidad de capacitación. Un factor importante que contribuye al logro efectivo de los "objetivos en materia de seguridad” de los diferentes departamentos de la organización, es la garantía de que los conocimientos de todos los miembros del personal y sus capacidades sean elevados, y mantenidos en los niveles más altos posibles en sus principales áreas de responsabilidad. Esto se logra mediante la formación y el desarrollo de necesidades identificadas. La formación debe ser llevada a cabo a nivel interno, así como la capacitación cruzada y la formación en el puesto de trabajo dentro de los subdepartamentos.
4. Deben ser tomados en cuenta el contexto económico nacional así como el regional, para evitar aquellos objetivos poco realistas y/o poco prácticos; y expectativas demasiado elevadas en el cumplimiento de tales objetivos.

 


3. Los desafíos
Todo lo que se haya llevado a cabo debe ser monitoreado y medido; lo que es controlado y medido debe ser gestionado
, es decir, todas las actividades que se utilizan para coordinar, dirigir y controlar una organización son una parte esencial del SGSI, ya que sin medir el rendimiento de los controles de seguridad, es imposible conocer la efectividad de estos controles y por lo tanto, saber si la organización está realmente protegida.

Nos enfrentamos a los siguientes desafíos para alcanzar las metas:

1. Hacer que el personal en todos los niveles entienda que son una parte integral de seguridad de la información y que desempeña un papel fundamental en el buen funcionamiento de la organización.
2. Involucrar al personal en la seguridad de la empresa/institución y en los planes de prevención para que, con la capacitación en los procedimientos de operación, pueda desempeñar un papel en su propia seguridad y al hacerlo, en todos los demás, minimizando las amenazas y los riesgos que puedan surgir.
3. Establecer un sistema de evaluación que permite la monitorización continua de los aspectos más importantes que afectan a las políticas de seguridad, con el fin de detectar fallas y corregir lo que puede causar una disminución en la efectividad.
4. Definir los recursos apropiados, humanos y técnicos, necesarios para evitar el vandalismo y el sabotaje de los edificios, locales y emplazamientos de equipamientos/antenas.
5. Adoptar las medidas necesarias de control físico y técnico, con la participación y compromiso de cualquiera de las direcciones/departamentos, si es necesario, para evitar fugas de información.
6. Deben realizarse comunicaciones mensuales internas sobre temas de seguridad para aumentar la concientización entre el personal, sobre el papel que ellos deben desempeñar en el mantenimiento de la seguridad.
7. Coordinar con la Dirección Legal y de Marcas en cuanto a las posibles acciones a adoptar, en caso de eventuales daños a la imagen corporativa.
8. Ayudar al equipo de gestión de crisis en el suministro de una respuesta adecuada cada vez que se produce un evento, incidente, crisis o contingencia de seguridad.

Objetivos que se persiguen:

Para poner en práctica las políticas de seguridad, el comité de dirección debe establecerse como una de las principales formas de lograr los objetivos, a saber, la prevención, la anticipación y, si es necesario, la eliminación de las posibles contingencias y amenazas por medio de procedimientos y medidas de seguridad de la información. Los mecanismos establecidos para lograr estos objetivos pueden variar de acuerdo a los temas en cuestión, detalles y la naturaleza de la actividad (cuantificables o no), el nivel requerido de eficiencia, así como el costo de implementación. Los objetivos deben ser identificados con el fin de poder lograrlos en un plazo determinado. Del mismo modo, los planes de acción correspondientes deben ser definidos e implementados, mientras que, al mismo tiempo, se introducen procedimientos eficaces de gestión de personal para hacer frente a este desafío.

Gracias a la consecución de los objetivos de las políticas de seguridad, las organizaciones de América Latina y del Caribe son capaces de garantizar la seguridad de las personas, las instalaciones, la imagen y el negocio.

4. La realidad
Los desafíos deben alcanzarse dentro de las realidades de América Latina y del Caribe, es decir con los pies en la tierra.

Deben tenerse en cuenta, por supuesto, aspectos tecnológicos y económicos. Pero la clave para cumplir con éxito todos los desafíos y alcanzar los objetivos propuestos radica en los recursos humanos. Con esto en mente, los siguientes criterios han sido seleccionados y definidos:

• El enfoque debe ser incluido en el seguimiento y la coordinación continua.
• Además, es de vital importancia la concientización sobre las responsabilidades de cada miembro del personal, individualmente y como parte de un equipo.
• Entender los mecanismos de trabajo en equipo es una cuestión clave para alcanzar el éxito. Son obligatorios el seguimiento y la revisión de los procedimientos y las prácticas llevadas a cabo para obtener eficacia y eficiencia.
• Proporcionar orientación estratégica y motivación para sub-gerentes de departamento y otros miembros del personal, se traduce en resultados efectivos.
• Los objetivos específicos, las responsabilidades, las necesidades de capacitación, los conocimientos esperados de la capacitación/formación deben ser revisados y supervisados, tanto desde una perspectiva de corto como de mediano plazo.
• Asegurar que el personal en todos los departamentos de las organizaciones este suficientemente capacitado y que se mantenga la capacidad de recuperación de habilidades, esto implica o representa otro paso más en el camino hacia el éxito.

 

Todas y cada una de las organizaciones de los países latinoamericanos y del Caribe deben esforzarse para garantizar la seguridad de la información y asegurar el futuro brillante que todas y cada una las organizaciones merecen.

Sobre el autor
Juan Carlos Fondevila Sancet en la actualidad se desempeña como consultor - auditor para América Latina de “ITBMS” y “Above Security” de Canadá, y es el vicepresidente regional de América del Sur para "AFCEA Internacional", y director de tecnología y operaciones, responsable estratégico de “BIS&TS”.  Previamente se desempeñó como: consultor SI para la Asociación de Bancos Comerciales de la República Dominicana (ABA)", desarrolló e implementó el SGSI ISO/IEC 27001 y el control interno SOX - SOD, en Orange Dominicana, bajo los estándares del Grupo France Telecom. Trabajó en Siemens IT Services para el proyecto DNI en la Argentina, entre otras empresas.

Es instructor certificado "auditor / implementador líder ISO / IEC 27001:2005”, y asimismo certificado como "implementador líder ISO 27001" (LI), en "consultoría de seguridad de la información (MC)", "optimización de la organización, asesor de gestión de riesgos" y "asesor de gestión de seguridad de sistemas de información. Experto en estándares, normativas y metodologías de seguridad  de la información especialmente en análisis y gestión de riesgos, auditorías, etc. Juan Carlos, ingeniero electrónico, asimismo está graduado con varios post grados en telecomunicaciones, ITBA, y en ingeniería en sistemas de control en tiempo real, en Inglaterra, “Ferranti” - "H.M.S.Collingwood”.

Si desea comunicarse con el ingeniero Juan Carlos Fondevila Sancet, puede hacerlo por medio de su correo electrónico: jcfondevila@gmail.com

 
comments powered by Disqus

Búsquedas recientes:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Others