Posts tagged ‘Seguridad de la información’

2 junio 2009

Guías para proteger la red inalámbrica Wi-Fi

El Instituto de  Nacional de Tecnologías de la Comunicación (INTECO), ha publicado una Guía , dirigida a las empresas, especialmente a las pymes, ofreciendo medidas para proteger la red Wi-Fi.

La guía distingue entre medidas básicas, que pueden ser abordadas por personas con conocimientos generales, y medidas avanzadas, que garantizan un extra de seguridad y para las que se requiere cierta instrucción técnica.

Podéis acceder a la guía: Guía INTECO

image

Anuncios
26 enero 2009

Más allá de la Seguridad Informática. Los Planes de Continuidad de Negocio.

Hoy en día el volumen de información que gestionan las empresas es inmenso. La facilidad con que las empresas tramitan esta información hace que en muchas ocasiones no se de importancia a la criticidad de la misma, en muchas ocasiones estamos hablando de información estratégica de la compañía, desde información de clientes, proveedores, empleados a datos económicos de la propia empresa, etc.

La dependencia de las empresas en sus sistemas de información es tal, que sin ellos funcionando correctamente se limita, incluso se anula, la continuidad de su negocio, parando su actividad y sin poder suministrar los pedidos a sus clientes, ni atenderles sobre sus demandas, con las consecuencias económicas que ello conlleva.  Estaríamos hablando de cómo gestionar la continuidad del negocio.

Esta Continuidad del Negocio en muchas ocasiones viene provocada por factores externos a la propia compañía, desastres naturales o provocados por el hombre, incendios, terremotos, huracanes, etc, sobre los cuales la empresa no puede actuar per si puede de alguna manera, planificar como reaccionar ante estas situaciones adversas para proder continuar oferciendo a sus clientes el servicio comprometido.

Sólo un 18% de los datos de usuario final están protegidos y el 72% de las empresas se encuentran en alguna de estas tres situaciones: (Datos 2005, www.firstconference.org , Manuel Ballester)

  • No tienen un Plan de Continuidad de Negocio
  • Si lo tienen nunca lo han probado
  • Su plan falló cuando lo probaron

Asegurar el acceso a la información es mucho más que disponer de copias de seguridad, hay que garantizar la existencia de un plan que permita disponer de una infraestructura tal que haga viable el recuperar dicha copia de seguridad en las mismas condiciones que si no hubiera sucedido ningún desastre, garantizando la continuidad de los procesos de la compañía. 

Para trabajar sobre estos riesgos de continuidad de negocio hay que hablar del Proceso de Planificación de la continuidad de Negocio y su recuperación frente a desastres.

Un Plan de Continuidad de Negocio es necesario para el éxito duradero de una organización. Tenerlo implantado no sólo le puede permitir proteger la información crítica de su negocio contra una posible destrucción total sino que permite realizar un trabajo de análisis de los procesos de su negocio y así poder volver a la normalidad en caso de desastre parcial o total de las operaciones diarias.

Existe una metodología basada en el uso de buenas prácticas mundialmente reconocidas y en normas internacionalmente aprobadas basadas en la gestión de riesgos.

La Gestión de Continuidad de Negocio implica un proceso continuo, empezando por un buen conocimiento del entorno de la empresa analizada con el objetivo de que la continuidad forme parte de la propia estrategia de la organización.

bcp2

http://www.sun.com/emrkt/boardroom/newsletter/spain/0105leadingvision.html

El proceso en su totalidad incluye las siguientes fases:

  • Obtener un conocimiento de su negocio a través de la iniciación del proyecto.
  • Realizar un análisis de impacto cuyo objetivo es determinar los procesos críticos de la empresa, evaluar sus impactos económicos y operacionales sobre el negocio en caso de no disponer de los recursos humanos, logísticos o tecnológicos para ejecutarlos además de establecer un orden de prioridad de recuperación de dichos procesos.
  • Realizar un análisis de riesgos en el que se valoran los riesgos a los que están expuestos su negocio y más específicamente los procesos críticos identificados en la fase anterior dejando como opciones: eliminar, mitigar o asumir los riesgos valorados.
  • Desarrollar unas estrategias de continuidad y valorarlas hasta llegar a un equilibrio entre los gastos incurridos, los riesgos a mitigar y los beneficios económicos aportados.
  • Documentar los procedimientos a seguir según la estrategia adoptada. Los procedimientos incluyen la planificación de los recursos, la logística y la tecnología necesaria para recuperar los servicios mínimos de su empresa.
  • Probar las soluciones de recuperación y realizar ejercicios basados en el Plan para asegurar su buen funcionamiento y para poder actualizar los puntos débiles encontrados durante esta fase.
  • Sensibilización y formación de la plantilla al Plan y la importancia que éste tiene para su negocio.

En los EEUU hace muchos años que ya se trabaja en ello, nuestro país aún queda mucho por hacer, pero cada vez se oye hablar más de ello. han sido las grandes corporacione multinacionales que han inciado este trabajo necesario, pero no es así en las pymes, donde en mucahs ocasiones no se valora la gestión del desastre hasta que se ha sufrido, y en donde en ocasiones es dificil de ver el rendimiento de esa inversión.

Pregunto, ¿Cuál es el retorno de la inversión de las pólizas de seguros que tienen contratadas sus empresas?, consideren la inversión en un Plan de negocio en una doble perspectiva:

  • Un seguro para garantizar que en caso de desastre pueda recuperar mis datosy segir trabajando.
  • Como un trabajo de organización de los procesos de mi empresa lo que permitirá trabajar de una manera más eficaz y eficiente.

Cada vez hay más profesionales que le pueden ayudar a definir su Plan de Continuidad de Negocio, coménteselo a su socio tecnológico.

 

 

29 agosto 2008

Los 10 peores errores en seguridad de la información empresarial

Jesús Torrecillas, consultor de Seguretat de Cemex, com a fruit de més de 15 anys d’experiència en seguretat de la informació empresarial, ha identificat el que ell diu els 10 errors més frequents en seguretat de la informació. Els va exposar el passat 11 de juny a Monterrey (Mèxic).

Aquests són resumidament:

1. Asignar a gente sin experiencia el mantenimiento de la seguridad informática y no dar formación para aprender en qué consiste la prevención de la fuga de información y los cambios inherentes a la naturaleza del puesto.

2. Falta de comprensión entre la relación de seguridad de la información con los problemas del negocio. Informática es un área del negocio, no lo es todo.

3. Falta de conocimiento y de compresión sobre los aspectos de la operación de Seguridad de la Información.

4.Confiar la seguridad de la información solamente en los firewalls e IPS, IDS, UTM, etcétera.

5. Que el departamento de Seguridad de la Información dependa del departamento de Informática.

6. Dejar sólo en manos de proveedores externos la operación de la seguridad informática, y la operación crítica de informática.

7. No darse cuenta del valor de la posesión de la información y la reputación de la compañía.

8. Reaccionar reactivamente, dando soluciones breves o haciendo parches para solucionar problemas que luego se reproducirán periódicamente.

9. Pretender que los problemas no aparecerán si son ignorados.

10. Ocultamiento de problemas entre los departamentos de tecnología informática y de Seguridad de la Información por desviación de presupuestos. (IT versus Seguridad).

Torrecillas va acabar dient: “La seguridad informática no es patrimonio de unos o de otros, la integridad de la información impacta en los resultados de la operaciones”.

Podeu trobar l’article senser a http://netmedia.info/articulo-31-8133-1.html
A %d blogueros les gusta esto: