Inicio
 > Informes e investigaciones > Blog de TEC > El camino hacia la gobernabilidad de datos salud...

El camino hacia la gobernabilidad de datos saludables por medio de la seguridad

Escrito por: Jorge Garcia
Publicado: julio 11 2012

Una administración apropiada de los datos en una organización tiene una dependencia crítica con factores, que incluyen la calidad de los datos, de la cual hablé en mi último artículo en el blog en español de TEC. Otro de los aspectos importantes de la gobernabilidad sobre los datos tiene relación con la gestión de su seguridad. Ahora más que nunca, la seguridad de la información es crucial para cualquier organización. Este artículo intenta dotarle con algunos conocimientos y pasos para lograr lo que me gusta llamar "gobernabilidad en la seguridad de los datos”.
 

Privacidad y seguridad de la información
Según un documento del 2008 de National Association of State Chief Information Officers (NASCIO) la gobernabilidad sobre los datos es:

La disciplina operativa para la administración de datos e información como un componente importante dentro de los activos de la empresa.

Esto significa que la información como activo importante para una organización, debe ser tratada con el cuidado necesario para mantenerla segura y protegida. Pero ¿qué significa realmente la seguridad de la información?

La importancia de tomar las medidas necesarias para la seguridad y privacidad de la información y los datos es obvia para la mayoría. Lo que no es obvio es cómo lograrlo, ya que la seguridad de la información requiere un plan concienzudo y comprometido. Observemos algunos de los factores para lograr la seguridad de la información.

¿Qué es la seguridad de los datos/información?
Según la definición de U.S National Information Systems Security Glossary, la seguridad de la información se refiere a:

“La protección de los sistemas de información contra el acceso desautorizado o la modificación de la información almacenada, en proceso o transito y la negación de servicio al personal autorizado o la dotación de servicios a personas no autorizadas, incluyendo las medidas necesarias para detectar, documentar y contrarrestar tales amenazas.”

Entonces, los siguientes cuatro elementos son esenciales en una perspectiva sobre la seguridad de la información:

• Disponibilidad. Asegurar que las personas indicadas tienes los datos apropiados.
• Confidencialidad. Conservar los datos seguros y evitar su divulgación interna o pública.
• Integridad. Asegurar la exactitud y validez de los datos en todo momento.
• Seguridad. Asegurar que los datos están protegidos de cualquier peligro interno o externo.

Es importante el equilibrio adecuado entre la disponibilidad y la confidencialidad. Una organización debe mantener su información segura contra su divulgación indeseada, pero al mismo tiempo, debe asegurar que esta está disponible para los usuarios adecuados.

¿Cuál es la importancia de la seguridad de los datos?
Los datos son un valioso activo para la organización, tanto a nivel corporativos como individual. Y la disponibilidad de los métodos apropiados para mantener la información segura en todo momento puede tener un gran impacto en el bienestar de la organización. Esto es particularmente importante cuando se está trabajando con información personal de identificación (PII, por sus siglas en inglés), así como información corporativa confidencial.

Desde el punto de vista corporativo, existen tres razones para asegurar que la seguridad de los datos se convierte en un componente fundamental de cualquier plan de gobernabilidad de los datos:

• Regulación y conformidad en cuanto a las leyes de seguridad y privacidad de los datos en la industria, de la localidad y a nivel internacional (ejemplo: The Sarbanes-Oxley Act, The EU Data Protection Directive, Directive on Privacy and Electronic Communications).
• La protección a la propiedad intelectual, la cual es posible en diferentes formas: por medio de patentes, marcas comerciales, derechos de autor, etc.
• Normas internas para el acceso a los datos.


Además, las organizaciones se pueden beneficiar con la implementación de un plan para la gobernabilidad sobre la seguridad de los datos:

• Conformidad efectiva y supervisable por medio de las regulaciones adecuadas para la seguridad de los datos.
• Efectividad en la evaluación de los riegos a los datos y en la respuesta para la solución de los problemas.
• La responsabilidad adecuada para toda la seguridad y las actividades relacionadas.
• Reducción de los costos operacionales al mitigar los riesgos de seguridad y al reducir el número de problemas a resolver (como el acceso sin autorización, las fugas de información, etc.) y asegurar la fluidez de las operaciones, además de la disminución de las violaciones a la seguridad.


Además, estas medidas incrementarán la confianza interna y externa sobre el manejo de la seguridad de la información por parte de la organización.

Por supuesto, la implementación de un plan para la gobernabilidad sobre la seguridad de la información como parte de otro programa más general de gobernabilidad sobre los datos, creará muchos más beneficios y razones, como la reducción del número de interrupciones en las operaciones por problemas de seguridad.

Los retos de tener una perspectiva inadecuada para la seguridad de los datos

Por otro lado, si no se cuenta con un plan implementado para la gobernabilidad sobre la seguridad de los datos o si se está operando con uno inadecuado, estos son algunos de los problemas que puede enfrentar:

• Vulnerabilidad de los datos ante amenazas internas y externas, tanto intencionadas como no intencionadas.
• El incremento de las probabilidades de fuga de información dada la pobreza de las políticas.
• Conflictos entre derechos de acceso y las medidas de seguridad y sus políticas.
• Inhabilidad para realizar una administración precisa de los riesgos para la seguridad de los datos.

Riesgos y problemas en la seguridad de los datos
Ahora, desde el punto de vista de la gestión del riesgo, creo que en cualquier plan para la gobernabilidad sobre la seguridad de la información existen riesgos y problemas asociados con su seguridad y privacidad:


• Riesgos en la seguridad de los datos. Estos son posibles cursos de acción o actividades que pueden llevar a la pérdida, violación, mal uso o uso desautorizado que termina en la divulgación de información confidencial. Si no se soluciona a tiempo, este se convertirá en un problema.
• Problemas en la seguridad de los datos. Esta es una acción que puede conducir a la perdida, violación, mal uso o divulgación desautorizada de información confidencial.

Por lo tanto, el programa general para la gobernabilidad de los datos debe contener otro programa para la seguridad de la información y este debe asegurar que los riesgos son solucionados antes de que se conviertan en un problema mayor y pongan en peligro el bienestar de la organización.

Opción para una gobernabilidad más saludable sobre la seguridad de los datos
Para mitigar los riesgos y evitar los problemas que le acompañan o minimizar sus efectos, es necesario contar con una infraestructura de apoyo que consiste de los siguientes seis elementos comunes:


• Una estructura organizacional para la seguridad de los datos
• Una estrategia organizacional para la seguridad de los datos
• Políticas que definan cada aspecto de la regulación, el control y la estrategia
• Estándares de seguridad según las políticas previas y para cumplimiento 
• Un modelo para la evaluación del riesgo en cuanto a la seguridad de los datos
• El proceso o procesos necesarios para asegurar una ejecución, control y seguimiento adecuados de todos los elementos (políticas, estándares, riesgos y problemas).

Poner estos elementos en funcionamiento le llevará por el sendero hacia un plan para la gobernabilidad sobre la seguridad de los datos.

Sabemos que con frecuencia un problema tiene más de una solución. Lo mismo es aplicable a los problemas en los planes de gobernabilidad sobre la seguridad de la información. Bien sea que estemos hablando de COBIT (el framework para la gobernabilidad y control de TI) o FISMA (Federal Information Security Management Act of 2002) e independientemente de la forma de solucionar los problemas, existen algunos puntos importantes a tener en cuenta cuando se comienza un plan de este tipo:


• Los datos son un impulsor de negocios.
• Los datos son elementos dinámicos -no estáticos- en la medida en estos se mueven dentro, fuera y atreves de su compañía.
• Los datos pueden tener múltiples formas, estructurados, sin estructura o semi estructurados.
• Los datos pueden ser tanto técnicos como empresariales.
• Los datos pueden ser observados desde una perspectiva centrada en el usuario -para promover conciencia sobre la seguridad de los datos o en la organización-.

Observemos algunos parámetros a tener en cuenta al implementar un programa para la gobernabilidad sobre la seguridad de la información y un plan general para su seguimiento:


Identifique y defina.

  • Identificar. El primer paso en este proceso es determinar el alcance del proyecto para poder enfocarse en los aspectos más relevantes e importantes, ya que de otra manera correrá el riesgo de no poder entregar resultados efectivos. El proceso de identificación le puede ayudar a definir los casos de uso posible (como el objetivo inicial) y el alcance inicial de su estrategia. Debe preguntarse lo siguiente: ¿Cuáles son los riesgos o problemas más importantes con respecto a la seguridad de su información? Si ya tiene un programa para la gobernabilidad sobre los datos, ¿necesita modificar su plan actual para incluir este nuevo requisito? Divida los problemas según sus prioridades y trabaje para solucionarlos.

  • Definir. Una vez identifique el caso, debe definir el alcance, los objetivos y los participantes, así como sus roles y sus responsabilidades. Realice una evaluación inicial para determinar el estado actual de la seguridad de la información de su empresa. Identifique y defina la información confidencial y su ubicación. Una vez tenga todos los hechos, cree un plan o marco de trabajo para solucionarlos. Aquí debe definir una estrategia de evaluación del riesgo y una infraestructura nueva para la seguridad de la información.

Desarrolle e implemente.

  • Desarrollar. El siguiente paso es crear políticas de seguridad basadas en sus requisitos, así como una estrategia para la información y la colaboración para los participantes y usuarios. Además, debe establecer una estrategia de comunicación para promover la conciencia sobre la seguridad de la información para toda la organización. Por último, debe definir los indicadores para medir los resultados. Este es un proceso continuo en constante evolución y usted tiene la oportunidad de observar lo que funciona e identificar áreas a mejorar.
  • Implementar. Organice su nueva infraestructura de seguridad. Para lograr esto debe poner a trabajar las políticas, desplegar los procesos necesarios para implementarlos, desplegar sus herramientas de monitoreo (indicadores, etc.) y educar a los usuarios sobre las nuevas políticas y normas. 

Supervisión y mantenimiento.

  • Supervisión. Una vez establecida su infraestructura para la seguridad de la información, realice supervisiones de rutina de los procesos y realice las modificaciones y ajustes necesarios según los resultados.
  • Mantenimiento. Por último, realice auditorías internas y externas periódicamente, así como evaluaciones de riesgo después de cualquier modificación.

¿Qué puede esperar de un programa para la gobernabilidad sobre la seguridad de la información?
A continuación presentamos algunas ventajas asociadas con el lanzamiento de un plan exitoso para la gobernabilidad sobre la seguridad de la información:


• Un modelo confiable para la evaluación del riego que permita reducir el número y la severidad de los problemas de seguridad.
• Un modelo confiable y ágil para solucionar los problemas que surjan
• Mayor transparencia y conciencia sobre todos los elementos de la seguridad (políticas, estándares y niveles de servicio)
• Mejor conformidad con las normas –que facilitan las auditorias
• Mejor habilidad para supervisar los resultados y las mejoras


 
Autoevaluación de la seguridad de la información
Por último, tómese el tiempo de realizar la siguiente autoevaluación sobre la infraestructura de su organización para la seguridad de la información (marque la casilla que corresponde). Es posible que usted ya tenga varios elementos en sitio para proceder con el plan para la gobernabilidad sobre la seguridad de la información. Los elementos que su organización no apoya o para los cuales tiene un apoyo medio necesitan su atención para resolver los problemas y eliminar los obstáculos, de forma tal que tenga todos los elementos necesarios para el éxito de su plan.
  
Gestión de riesgo y seguridad de la información
Defina el nivel de soporte de su organización para los siguientes elementos:


1. Una infraestructura para la seguridad de la información exhaustiva para la gestión y control del acceso y las restricciones para compartir información (gestión de contraseñas, configuración de accesos y roles para los usuarios, perfiles de los usuarios, etc.).


Soporte completo
Soporte medio
Sin soporte

2. Un modelo de riesgo que incluya la evaluación de los riesgos y las vulnerabilidades para el mal uso intencionado de los datos y/o la divulgación inadvertida por parte de usuarios autorizados.
 


Soporte completo
Soporte medio
Sin soporte

3. Un buen plan para mitigar los riesgos asociados con la violación intencional o inadvertida de la seguridad de la información.


Soporte completo
Soporte medio
Sin soporte

4. Supervisión o auditoria constante del cumplimiento con las normas de seguridad de la información a nivel de estándares, políticas y regulaciones.


Soporte completo
Soporte medio
Sin soporte
 
5. Políticas y procedimientos establecidos que aseguren la continuidad de los servicios de información en caso de violación de la seguridad u otros desastres (incluyendo un plan para la recuperación en caso de desastre).


Soporte completo
Soporte medio
Sin soporte

6. Políticas establecidas para guiar las decisiones sobre los intercambios de información e informes, incluyendo el intercambio de información con instancias externas (organizaciones, gobierno) y/o clientes.


Soporte completo
Soporte medio
Sin soporte
 
7. Procedimientos establecidos para compartir información manteniendo la confidencialidad y protección del PII.


Soporte completo
Soporte medio
Sin soporte

8. Procedimientos (como la eliminación de texto o casillas) para asegurar que PII no sea divulgado en los informes públicos.


Soporte completo
Soporte medio
Sin soporte

9. Todos los datos utilizados en la práctica de informes permanecen en cumplimiento con la norma local, regional, federal y/o las políticas y regulaciones internacionales sobre la privacidad de la información.


Soporte completo
Soporte medio
Sin soporte
 
10. Los participantes y usuarios son informados con regularidad sobre sus derechos con respecto a las leyes federales o estatales sobre la gobernabilidad de la privacidad de los datos.


Soporte completo
Soporte medio
Sin soporte

Privacidad y acceso a la información
Defina el nivel de soporte de su organización para los siguientes elementos:

 
1. Políticas y procedimientos establecidos para restringir y supervisar el acceso del personal a los datos, limitando qué tipo de información y quién puede tener acceso a ella. Esto incluye diferentes niveles de acceso según los roles y los grupos.


Soporte completo
Soporte medio
Sin soporte

2. Controles internos establecidos para la administración del acceso a los datos. Ello puede incluir acuerdos de confidencialidad, educación y capacitación, verificación de seguridad y auditoria para el personal, incluyendo a los usuarios con acceso privilegiado a PII.


Soporte completo
Soporte medio
Sin soporte

3. Políticas y procedimientos para restringir y supervisar el acceso a la información por parte de los usuarios autorizados para asegurar que los datos cumplen con las condiciones y su consistencia con los parámetros establecidos en el programa de gobernabilidad sobre la seguridad de la información.


Soporte completo
Soporte medio
Sin soporte

4. Políticas y procedimientos que aseguren el cumplimiento de todos los ambientes complementarios hasta la producción (como las pruebas y el control de la calidad) con el uso de información oculta para evitar la divulgación indeseada de los PII durante las pruebas y los procedimientos de control de calidad.


Soporte completo
Soporte medio
Sin soporte

Traducido del inglés por Claudia Gómez

 
comments powered by Disqus

Búsquedas recientes:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z Others