Seguridad y protección
Cuando hablamos de seguridad y protección de la información en las empresas, es indiferente si nos referimos a organizaciones públicas o privadas, al tamaño, etc. ya que cada organización tiene un objetivo que conseguir.
Para conseguir, que se lleven a cabo muchas tareas para llegar al propósito que se quiere conseguir, al mismo tiempo que se evitan las acciones que impidan el cumplimiento. Será necesario que la información tome relevancia, siendo unos recursos clave desde el momento en el que se crea hasta que se destruye, intentando evadir el mayor número de amenazas posibles.
La principal intención es proteger los datos, otros activos y en general el negocio, las empresas pueden optar por realizar prácticas y medidas de seguridad y protección.
Objetivos de control para la protección de la información
Un marco de referencia puede ser usado por las organizaciones como guía para la integración de las operaciones que se relacionan con el área de Tecnologías de la Información, es decir, un conjunto de propósitos definidos y controlados por el responsable de TI.
La última versión del documento COBIT 5 se enfoca a la Seguridad de la Información, que tiene como base la mejora en las prácticas, con la característica principal que agrega a las guías prácticas de forma detallada para proteger la información a todos los niveles.
En el documento COBIT 5 se plantea la idea de que la Seguridad de la Información es una disciplina transversal, por lo que se consideran diferentes aspectos de protección de datos en todas las actividades y procesos realizados por la organización. Se puede utilizar como complemento, ya que esta última versión ofrece una guía básica para definir, operar y monitorear un Sistema de Gestión de Seguridad, como puede ser:
- APO13 Gestión de la seguridad.
- DSS04 Gestión de la continuidad.
- DSS05 Gestión de servicios de seguridad
Además de revisar con un elevado nivel de detalle todos los procesos, establezcer metas y especificar la seguridad y protección de cada proceso que viene definidos en el documento COBIT 5. De la misma forma se establecen diferentes prácticas, actividades, entradas y salidas entre procesos, para cada uno de los que conforman el modelo de referencia.
Consideraciones de seguridad en COBIT
El documento ha sido desarrollado para establecer aspectos puntuales de Seguridad de la Información que no se encuentran incluidos en el COBIT 5. Se puede establecer un enfoque holístico de la seguridad y protección de la organización, definiendo las responsabilidades y elementos que permiten el gobierno y la gestión de la seguridad. Se quiere alinear la seguridad de la información con todos los objetivos de la organización, mediante las prácticas de gobierno y la gestión enfocada a la seguridad.
El proceso DSS05 Gestión de servicios de seguridad, tiene como propósito disminuir el impacto que se genera en el negocio debido a las vulnerabilidades en cuanto a seguridad y protección de la información. Entre las prácticas de gestión que involucra se encuentran la protección frente a malware, la gestión de la seguridad en red, la gestión de seguridad endpoint o la gestión del acceso físico de activos de TI.
El documento para la Seguridad de la Información incluye todas las actividades para las prácticas descritas en el párrafo anterior. Instalar un antivirus, aplicar filtros, cifrar la información, almacenar la información en diferentes equipos, aplicar configuraciones recomendadas, etc.
Con el incremento que ha experimentado la necesidad de protección de la información, de forma general se consideran muchos aspectos puntuales, como pueden ser los niveles de riesgo aceptables, la continua disponibilidad de servicios y sistemas, además de cumplir con la legislación, las regulaciones, los requisitos y las políticas internas.
Consideraciones y pautas principales para la seguridad de la información
No se puede negar que la aplicación de medidas para proteger la información es, hoy en día, una necesidad, ya que es un activo útil. Se establece un mayor alcance relacionado con la continuidad de las operaciones y la protección del negocio, siendo la razón de ser de las organizaciones.
Los diferentes procesos, actividades o iniciativas se pueden completar con las diferentes propuestas realizadas en este documento, es el resultado del consenso de todos los expertos en el tema, además de que está en continuo desarrollo para mejorar las prácticas.
En el Anexo H de COBIT 5 es el lugar donde se mapean todos los procesos que se presentan en las cláusulas y en los controles de los estándares que hemos mencionado durante todo el artículo, se agrega información que completa a las mejores prácticas, de forma principal todas las metas y las métricas para realizar prácticas y gestionarlas. Las actividades específicas de seguridad y protección deben ser adoptadas y adaptadas a todas las características y necesidades que presenta la organización, además de proteger la información y conseguir su misión.
Software para ISO 27001
El Software ISOTools Excellence para la norma ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa. Toda protección es importante, por mínima que sea, pues el mínimo descuido puede ocasionar una violación de los datos de la misma.
¿Desea saber más?
Entradas relacionadas
31 enero, 2018
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
26 diciembre, 2017
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
19 diciembre, 2017
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
12 diciembre, 2017
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…