Lo prometido es deuda y aqui estoy cumpliendo con lo anunciado.
Jacksecurity.com.- Desde que empezo la difusion de la seguridad informatica en el pais, muchos consultores y especialistas han venido remarcando incisivamente la necesidad de que toda empresa cuente con politicas de seguridad. Este concepto que como quiera que se haya entendido, ha terminado por institucionalizarse como una practica muy comun en la mayoria de empresas que tienen preocupacion por la seguridad o mas bien por su seguridad. No obstante a ello, la buena practica se ha convertido para este gran grupo, en un elemento realmente inutil y en ocasiones absurdo para su fin. En esta nota, JaCkSecurity.com le explicara algunas de las razones del por que de lo aqui senalado, ayudandole a identificar el 1er. gran error de la seguridad TI.
Un primer hecho que salta a la vista, es la entrega de las politicas de seguridad, las mismas que son suministradas generalmente por las gerencias de RR.HH. a todos los usuarios de una organizacion determinada, sin el sustento del caso, es decir, sin explicarsele al asociado (empleado) el por que y para que de las mismas. Dando paso a la libre interpretacion de su significado, valor y relevancia, es decir, a la total merced de como cada jefe, gerente, y empleado entienda la nueva doctrina corporativa.
En segundo lugar, aunque muchas de estas politicas se mantienen en documentos controlados, es decir, pasan por la aprobacion y firma del gerente general u otro responsable, las mismas no son revisadas previamente. Éstas deben ser revisadas con el fin de afinarlas. Este proceso de afinamiento, incluye la evaluacion del impacto que tendra las politicas sobre la productividad, la viabilidad que tendra en el entorno interno/externo del negocio, y la efectividad de las metas que buscan estas politicas al implantarse.
Por otro lado, el no uso de las politicas de seguridad como material de inducción laboral a los nuevos empleados que llegan a las empresas. Éste hecho, provoca una total desinformación en el nuevo usuario. Aunque para algunos, esta falencia recae directamente sobre la gestion de las areas de RR.HH., no es posible desasociar a los gestores de la seguridad como principales responsables -pues son estos los que implantan y disenan las mencionadas politicas.
Como cuarto y ultimo sintoma, esta la ausencia de capacitacion hacia el usuario -acerca de como realizar ciertas tareas descritas por las politicas de seguridad. Un ejemplo es, el dilema al que muchisimos usuarios de sistemas se enfrentan cada periodo - cuando la politica de renovacion de contrasenas los reta a crear una nueva contrasena -tan o mas compleja como la primera, sin que sus empleadores les hayan ensenado la forma más eficiente y efectiva de hacerlo.
Una politica de cambio de contrasenas, escaso de ayuda puede convertirse en una ineficiente medida de seguridad. Todos estos escenarios resumen un solo gran hecho y error, la ausencia de educacion en materia de seguridad informatica a los usuarios. Este seria entonces, el principal error en la gestion de la seguridad, que provoca que cientos y miles de bien intencionados proyectos de seguridad en todo el pais, se esten nulificando -tanto en empresas publicas como privadas; y generando a la vez mayor inseguridad en los sistemas de informacion, convirtiendoles en tierra fertil para los piratas ciberneticos, los empleados deshonestos, los espias informaticos, y otros muchos mas agentes que amenaza la seguridad de las empresas en el Peru.
Si Ud. está interesado en conocer las soluciones planteadas para éste primer hit, visite JaCkSecurity.com.
El presente artículo es producto de los hallazgos mas recientes en materia del estado del arte de la seguridad informatica en el Peru, del proyecto los 10 Errores Mas Comunes en la Gestion de la Seguridad en las Empresas Peruanas, de propiedad de la empresa JaCkSecurity.com S.A.C., cuya mision busca elevar la experticia de los profesionales, la conciencia de los usuarios, y la seguridad en las empresas.
Un primer hecho que salta a la vista, es la entrega de las politicas de seguridad, las mismas que son suministradas generalmente por las gerencias de RR.HH. a todos los usuarios de una organizacion determinada, sin el sustento del caso, es decir, sin explicarsele al asociado (empleado) el por que y para que de las mismas. Dando paso a la libre interpretacion de su significado, valor y relevancia, es decir, a la total merced de como cada jefe, gerente, y empleado entienda la nueva doctrina corporativa.
En segundo lugar, aunque muchas de estas politicas se mantienen en documentos controlados, es decir, pasan por la aprobacion y firma del gerente general u otro responsable, las mismas no son revisadas previamente. Éstas deben ser revisadas con el fin de afinarlas. Este proceso de afinamiento, incluye la evaluacion del impacto que tendra las politicas sobre la productividad, la viabilidad que tendra en el entorno interno/externo del negocio, y la efectividad de las metas que buscan estas politicas al implantarse.
Por otro lado, el no uso de las politicas de seguridad como material de inducción laboral a los nuevos empleados que llegan a las empresas. Éste hecho, provoca una total desinformación en el nuevo usuario. Aunque para algunos, esta falencia recae directamente sobre la gestion de las areas de RR.HH., no es posible desasociar a los gestores de la seguridad como principales responsables -pues son estos los que implantan y disenan las mencionadas politicas.
Como cuarto y ultimo sintoma, esta la ausencia de capacitacion hacia el usuario -acerca de como realizar ciertas tareas descritas por las politicas de seguridad. Un ejemplo es, el dilema al que muchisimos usuarios de sistemas se enfrentan cada periodo - cuando la politica de renovacion de contrasenas los reta a crear una nueva contrasena -tan o mas compleja como la primera, sin que sus empleadores les hayan ensenado la forma más eficiente y efectiva de hacerlo.
Una politica de cambio de contrasenas, escaso de ayuda puede convertirse en una ineficiente medida de seguridad. Todos estos escenarios resumen un solo gran hecho y error, la ausencia de educacion en materia de seguridad informatica a los usuarios. Este seria entonces, el principal error en la gestion de la seguridad, que provoca que cientos y miles de bien intencionados proyectos de seguridad en todo el pais, se esten nulificando -tanto en empresas publicas como privadas; y generando a la vez mayor inseguridad en los sistemas de informacion, convirtiendoles en tierra fertil para los piratas ciberneticos, los empleados deshonestos, los espias informaticos, y otros muchos mas agentes que amenaza la seguridad de las empresas en el Peru.
Si Ud. está interesado en conocer las soluciones planteadas para éste primer hit, visite JaCkSecurity.com.
El presente artículo es producto de los hallazgos mas recientes en materia del estado del arte de la seguridad informatica en el Peru, del proyecto los 10 Errores Mas Comunes en la Gestion de la Seguridad en las Empresas Peruanas, de propiedad de la empresa JaCkSecurity.com S.A.C., cuya mision busca elevar la experticia de los profesionales, la conciencia de los usuarios, y la seguridad en las empresas.
Espero les haya aclarado muchas cosas sobre el tema y no se pierdan la proxima entrega 2do. Gran Error de la Seguridad.
0 comentarios:
Publicar un comentario