Quizás las diferencias más fuertes en relación a una Organización
“comercial” en contraste a una social, es que en principio esta última
podría no tener los mismos recursos para proteger la información, además
de que seguramente los riesgos serían muy distintos, a pesar de que
todas las Organizaciones tienen riesgos distintos. .
A su vez, algunas cosas podrían no ser tan distintas, por ejemplo: .
● - Todas las Organizaciones tienen un objetivo y activos que deben proteger.
● - Todas las Organizaciones están compuestas por personas y deben cumplir leyes.
Teniendo en cuenta esto último entonces se podría concluir que quizás las medidas de seguridad o controles que se implementan en las Organizaciones “comerciales” también podrían aplicar en las Organizaciones Sociales, con algunas salvedades o particularidades obviamente. .
CONSEJOS PARA PROTEGER ACTIVOS VIRTUALES.
A su vez, algunas cosas podrían no ser tan distintas, por ejemplo: .
● - Todas las Organizaciones tienen un objetivo y activos que deben proteger.
● - Todas las Organizaciones están compuestas por personas y deben cumplir leyes.
Teniendo en cuenta esto último entonces se podría concluir que quizás las medidas de seguridad o controles que se implementan en las Organizaciones “comerciales” también podrían aplicar en las Organizaciones Sociales, con algunas salvedades o particularidades obviamente. .
CONSEJOS PARA PROTEGER ACTIVOS VIRTUALES.
A continuación se enumeran algunas recomendaciones que podrían facilitar
la tarea a aquellas Organizaciones que se hayan planteado como una
necesidad proteger sus activos, siendo la información uno de ellos.
1. Catalogar los Activos (saber que se tiene). Si bien puede verse como una tarea muy difícil, se podrían en cierta forma catalogar los activos con los que cuenta la Organización y así poder identificarlos unívocamente, para luego relacionarlos con el tipo de información que interactúan. Esto podría facilitar la “valoración” de dicho activo. .
2. Clasificar la Información (conocer su valor). Una vez que se tienen los activos catalogados, es importante definir ciertos niveles para clasificar la información, dado que en las etapas siguientes se identificarán los riesgos y para ello será muy importante conocer qué información es más importante y así poder priorizar y cuantificar el esfuerzo para su protección. Existen varias metodologías, pero más allá de imaginar algo complejo, se podría comenzar con una clasificación del tipo Público, Uso Interno, Confidencial o Sensible, como para dar una primera clasificación. .
3. Análisis de Riesgos. Una vez que se “sabe lo que se tiene” y “se sabe su valor”, la organización está en condiciones para proceder con el análisis de riesgos que permita identificar “qué cosas pueden pasar” y “que impacto generarían”. Con esta información se pueden tomar decisiones costo/beneficio, y el uso de los recursos será más eficiente. Existen muchas metodologías de Análisis de Riesgos que pueden servir de guía. Definir un alcance acotado e ir ampliándolo podría ser un punto interesante para que el equipo de trabajo se mantenga motivado y la Organización perciba cambios en forma rápida. .
Todas estas actividades requieren del compromiso de todos los colaboradores en la Organización y el impulso de los líderes. También es importante tener en cuenta que no son procesos de única vez, sino que deberían ejecutarse en forma periódica en un todo de acuerdo con un proceso de mejora continua. .
CONTINUACIÓN: PARA LOS MÁS “PRAGMÁTICOS” .
A continuación se describen una serie de medidas de seguridad que podrían considerarse la base que toda ONG debería tener en materia práctica, continuando con la lista anterior. .
4. Proteger la información de los Donantes (datos personales, medios de pago). Para una Organización que se sustenta con las donaciones de las personas que aportan a la causa, toda la información relacionada con dichas personas es crucial para el cumplimiento de los objetivos. Más allá de esto, hoy en día existen una serie de requisitos legales y regulatorios que hacen que no sea una opción su protección. Teniendo presente todo esto, es muy importante tener claro qué se debe cumplir como Organización para estar en compliance y no tener sorpresas desagradables. A su vez, dicho conocimiento debe trasladarse a todos los colaboradores. .
5. Protección contra código malicioso. Hoy en día todos los equipos informáticos deberían contar con una protección antivirus/spyware y demás variantes de código malicioso. Es importante mencionar que se debería controlar que dicha protección se encuentra activa y actualizada en todos los equipos. Evaluar la posibilidad de incluir dispositivos móviles. .
6. Firewalls personales. Todos los equipos deberían contar con un firewall, con una serie de reglas establecidas en forma centralizada, más allá de lo que el propio usuario pueda definir. .
7. Listado de Software Aprobado. El software instalado en los equipos debería ser el que la Organización considera necesario para llevar a cabo las actividades y que está dentro del proceso de gestión de vulnerabilidades. Este tipo de controles, facilitan el cumplimiento de leyes relacionadas con la propiedad intelectual. .
8. Actualizaciones de Seguridad. En relación con el “Listado de Software Aprobado” se encuentran las actividades que se deberían llevar a cabo para mantener todo el software actualizado, preferentemente en cuestiones relacionadas con parches de seguridad. .
9. Compromiso de todos los colaboradores. No hay una estrategia de seguridad que sea exitosa si no se cuenta con el compromiso de todos los miembros del equipo. Para ello, desde lo más alto de la Organización se deben impulsar las iniciativas de seguridad y comprometer a todos los miembros para que cumplan los requisitos establecidos y a su vez colaboren en la protección. .
Los Programas de Concientización son un elemento importante para que los colabores tomen conciencia de los riesgos a los cuales se encuentra expuesta la información, y cómo algunos hábitos que se modifiquen pueden mejorar notablemente el grado de exposición de los activos.
10. Documentar el conocimiento. Dicho conocimiento generalmente lo tienen las personas. Para ello sería muy bueno llevar a papel aquellas actividades críticas que podrían generar un impacto negativo en la Organización ante la ausencia de quiénes las ejecutan. Si bien esto muchas veces genera resistencia en las personas, sería bueno que en la Organización los colaboradores sean valiosos por lo que comparten y no por lo que ocultan. .
11. Gestión de Seguridad Centralizada. Sería la forma más eficiente de establecer los controles y/o medidas que se establezcan. .
12. Aprender de lo que sucede. Es fundamental que se mejoren las medidas y/o controles en base a las distintas situaciones que se presenten y que puedan considerarse incidentes de seguridad u oportunidades de mejora. El aprendizaje es lo que garantizará la mejora continua y a su vez permitirá mantener el riesgo en el nivel esperado por la Organización. .
CONCLUSIONES.
Los distintos puntos descriptos son sólo algunas recomendaciones de todas las cuestiones que podrían realizarse en materia de seguridad y que conforman las “mejores prácticas” o “prácticas habituales” en aquellas Organizaciones no Gubernamentales que gestionan la seguridad de la información. Sea cual sea la decisión que se tome, es importante tener en cuenta que no existen recetas mágicas. Lo que a una Organización sin fines de lucro le sirve, puede no servirle a otra dado que todas las Organizaciones son distintas. Lo que sí se debe tener claro es que hoy en día no es una opción proteger la información, tanto porque el mercado lo requiere como también porque se deben cumplir leyes o regulaciones como la de protección de datos personales, para poder operar legalmente. Es un buen momento para analizar cómo está el estado de la Organización social en este punto y comenzar a aplicar y mejorar las políticas de seguridad.
1. Catalogar los Activos (saber que se tiene). Si bien puede verse como una tarea muy difícil, se podrían en cierta forma catalogar los activos con los que cuenta la Organización y así poder identificarlos unívocamente, para luego relacionarlos con el tipo de información que interactúan. Esto podría facilitar la “valoración” de dicho activo. .
2. Clasificar la Información (conocer su valor). Una vez que se tienen los activos catalogados, es importante definir ciertos niveles para clasificar la información, dado que en las etapas siguientes se identificarán los riesgos y para ello será muy importante conocer qué información es más importante y así poder priorizar y cuantificar el esfuerzo para su protección. Existen varias metodologías, pero más allá de imaginar algo complejo, se podría comenzar con una clasificación del tipo Público, Uso Interno, Confidencial o Sensible, como para dar una primera clasificación. .
3. Análisis de Riesgos. Una vez que se “sabe lo que se tiene” y “se sabe su valor”, la organización está en condiciones para proceder con el análisis de riesgos que permita identificar “qué cosas pueden pasar” y “que impacto generarían”. Con esta información se pueden tomar decisiones costo/beneficio, y el uso de los recursos será más eficiente. Existen muchas metodologías de Análisis de Riesgos que pueden servir de guía. Definir un alcance acotado e ir ampliándolo podría ser un punto interesante para que el equipo de trabajo se mantenga motivado y la Organización perciba cambios en forma rápida. .
Todas estas actividades requieren del compromiso de todos los colaboradores en la Organización y el impulso de los líderes. También es importante tener en cuenta que no son procesos de única vez, sino que deberían ejecutarse en forma periódica en un todo de acuerdo con un proceso de mejora continua. .
CONTINUACIÓN: PARA LOS MÁS “PRAGMÁTICOS” .
A continuación se describen una serie de medidas de seguridad que podrían considerarse la base que toda ONG debería tener en materia práctica, continuando con la lista anterior. .
4. Proteger la información de los Donantes (datos personales, medios de pago). Para una Organización que se sustenta con las donaciones de las personas que aportan a la causa, toda la información relacionada con dichas personas es crucial para el cumplimiento de los objetivos. Más allá de esto, hoy en día existen una serie de requisitos legales y regulatorios que hacen que no sea una opción su protección. Teniendo presente todo esto, es muy importante tener claro qué se debe cumplir como Organización para estar en compliance y no tener sorpresas desagradables. A su vez, dicho conocimiento debe trasladarse a todos los colaboradores. .
5. Protección contra código malicioso. Hoy en día todos los equipos informáticos deberían contar con una protección antivirus/spyware y demás variantes de código malicioso. Es importante mencionar que se debería controlar que dicha protección se encuentra activa y actualizada en todos los equipos. Evaluar la posibilidad de incluir dispositivos móviles. .
6. Firewalls personales. Todos los equipos deberían contar con un firewall, con una serie de reglas establecidas en forma centralizada, más allá de lo que el propio usuario pueda definir. .
7. Listado de Software Aprobado. El software instalado en los equipos debería ser el que la Organización considera necesario para llevar a cabo las actividades y que está dentro del proceso de gestión de vulnerabilidades. Este tipo de controles, facilitan el cumplimiento de leyes relacionadas con la propiedad intelectual. .
8. Actualizaciones de Seguridad. En relación con el “Listado de Software Aprobado” se encuentran las actividades que se deberían llevar a cabo para mantener todo el software actualizado, preferentemente en cuestiones relacionadas con parches de seguridad. .
9. Compromiso de todos los colaboradores. No hay una estrategia de seguridad que sea exitosa si no se cuenta con el compromiso de todos los miembros del equipo. Para ello, desde lo más alto de la Organización se deben impulsar las iniciativas de seguridad y comprometer a todos los miembros para que cumplan los requisitos establecidos y a su vez colaboren en la protección. .
Los Programas de Concientización son un elemento importante para que los colabores tomen conciencia de los riesgos a los cuales se encuentra expuesta la información, y cómo algunos hábitos que se modifiquen pueden mejorar notablemente el grado de exposición de los activos.
10. Documentar el conocimiento. Dicho conocimiento generalmente lo tienen las personas. Para ello sería muy bueno llevar a papel aquellas actividades críticas que podrían generar un impacto negativo en la Organización ante la ausencia de quiénes las ejecutan. Si bien esto muchas veces genera resistencia en las personas, sería bueno que en la Organización los colaboradores sean valiosos por lo que comparten y no por lo que ocultan. .
11. Gestión de Seguridad Centralizada. Sería la forma más eficiente de establecer los controles y/o medidas que se establezcan. .
12. Aprender de lo que sucede. Es fundamental que se mejoren las medidas y/o controles en base a las distintas situaciones que se presenten y que puedan considerarse incidentes de seguridad u oportunidades de mejora. El aprendizaje es lo que garantizará la mejora continua y a su vez permitirá mantener el riesgo en el nivel esperado por la Organización. .
CONCLUSIONES.
Los distintos puntos descriptos son sólo algunas recomendaciones de todas las cuestiones que podrían realizarse en materia de seguridad y que conforman las “mejores prácticas” o “prácticas habituales” en aquellas Organizaciones no Gubernamentales que gestionan la seguridad de la información. Sea cual sea la decisión que se tome, es importante tener en cuenta que no existen recetas mágicas. Lo que a una Organización sin fines de lucro le sirve, puede no servirle a otra dado que todas las Organizaciones son distintas. Lo que sí se debe tener claro es que hoy en día no es una opción proteger la información, tanto porque el mercado lo requiere como también porque se deben cumplir leyes o regulaciones como la de protección de datos personales, para poder operar legalmente. Es un buen momento para analizar cómo está el estado de la Organización social en este punto y comenzar a aplicar y mejorar las políticas de seguridad.
Fuente: www.diariodecuyo.com.ar
language to provide extensions and scripting support. 
