Los datos sobre incidentes y vulnerabilidades detectadas, según el CERT, no son nada halagüeños, duplicándose en los últimos años. Por otro lado, y apoyando las cifras publicadas, se demuestra día a día que las medidas técnicas no son suficientes para solventar incidentes relacionados con la seguridad, aunque la apariencia, a veces pueda engañarnos, y la situación nos convierta en más vulnerables por la sensación y confianza en la seguridad alcanzada.Políticas y Estándares
En los últimos años estamos asistiendo al notable éxito de distintos estándares para implantar modelos estratégicos de seguridad de la información; COBIT, COSO, CMMI o el binomio ISO 17799-ISO 27001 como unos de los estándares con mayor éxito y mayor aceptación a nivel mundial. Si analizamos algunos de estas normativas, uno de los factores que deberían establecerse de inicio son el conjunto de políticas, principios, y requisitos de cumplimiento en la Empresa, que establecerán el enfoque en la gestión de la seguridad. Dichos documentos deberán ser publicados y conocidos por todos los empleados, estableciendo mediante una redacción sencilla y fácil de entender, las normas que se consideran necesarias para el cumplimiento de los requisitos establecidos, junto con las responsabilidades generales y específicas en materia de gestión de seguridad, incluyendo el mecanismo a seguir para comunicar cualquier incidente. Por último, y no por ello menos importante, será necesario establecer las consecuencias de las violaciones de la política y normas de seguridad que la Dirección haya aprobado. Los diversos estándares de seguridad definen como punto clave el establecimiento de roles, responsabilidades y funciones para todos los empleados, y la forma de establecer estas premisas de seguridad para cualquier empleado contratado por terceras partes con acceso a la información de la Empresa.
A pesar de las medidas técnicas, los recursos necesarios y cualquier política o norma que la Empresa pueda elaborar y obligar a cumplir, uno de los activos más importantes en todo enfoque de seguridad es el propio personal y cualquier trabajador que trate información y maneje los recursos según las atribuciones y responsabilidades asignadas. Esto que podría parecer evidente, no en todas las Organizaciones es analizado y tratado con la misma relevancia que la implantación de cualquier herramienta técnica que afecte a los sistemas, como puede ser un firewall, un antivirus o un sistema de control de acceso al CPD. Para conseguir que los empleados asuman tanto sus responsabilidades como las normas y la política establecida, es vital una tarea continua de concienciación, educación y formación. La concienciación deberá recordar la política y las responsabilidades de manera permanente, bien mediante la publicación de folletos o jornadas divulgativas, y su finalidad es que los individuos puedan reconocer los problemas e incidentes de seguridad, y responder de acuerdo a su rol y puesto de trabajo. La formación se deberá centrar en distintos aspectos, como las políticas específicas, responsabilidades legales, uso correcto de los recursos y medidas técnicas, proceso disciplinario, etc. Cualquier actividad organizada deberá llevarse a cabo en función de los perfiles profesionales o de los roles definidos.
Requisitos Legales
Uno de los enfoques necesarios, en el ámbito de la seguridad, lo encontramos en los requisitos legales obligatorios que afectan a las Empresas en el uso de nuevas tecnologías y en el tratamiento de los datos y de la información, como por ejemplo la LOPD (Ley Orgánica de Protección de Datos) para asegurar todo lo concerniente al tratamiento de datos personales o SOX (Sarbanes-Oxley) que permite asegurar el correcto procesamiento de la información, las transacciones y el acceso autorizado a la información financiera de las Empresas que cotizan en la Bolsa de EEUU. El Reglamento de Medidas de Seguridad (RMS) de 1999, cuya finalidad es el establecimiento de las medidas de índole técnico y organizativo para la protección de los ficheros automatizados que contengan datos de carácter personal, articula los mecanismos para definir responsabilidades en el tratamiento de los datos mediante el artículo 9 (Funciones y Obligaciones del Personal), que a través de su primer punto, obliga a las Empresas a definir los perfiles y las funciones asignadas a cada uno de ellos en el acceso a los sistemas de información, y a través del segundo punto, establece la obligación de proporcionar los mecanismos necesarios para que el personal conozca las atribuciones definidas, y las consecuencias en que pudiera incurrir en caso de incumplimiento. El establecimiento de responsabilidades y su comunicación eficiente a los empleados debe uno de los primeros pasos en la cadena de la seguridad que afecta al usuario final que trabaja con la información.
Como parte de las obligaciones contractuales, los empleados deberían aceptar y firmar los términos y condiciones de su contrato de trabajo, que debería establecer sus responsabilidades así como las de la Empresa en lo relativo a seguridad. Las condiciones y términos del contrato laboral, en cualquiera de sus modalidades, debería contener:
- La política general definida y aprobada por la Dirección.
- Un compromiso de confidencialidad y no revelación de la información que tratarán durante su trabajo en la Empresa.
- Responsabilidades específicas relativas a normativas que afectan a la Empresa (LOPD, LPI, etc.)
- Responsabilidades para la clasificación de la información y el tratamiento de la misma.
- Responsabilidades para el manejo de la información recibida por otras Empresas o terceras partes.
- Responsabilidades del tratamiento de la información fuera de las instalaciones habituales.
- Acciones a tomar en caso de no respeto de los requisitos de seguridad por parte del empleado.
Conclusiones
Delimitadas tanto las normativas legales como voluntarias que permiten establecer las responsabilidades en el ámbito de la seguridad en el puesto de trabajo, queda claro que los sistemas, por complejos y seguros que parezcan, están en manos de los usuarios. Se deben establecer mecanismos para dar a conocer las normas generales y los requisitos obligatorios, pero sin olvidar que es el usuario el que trata la información y el que debe poseer el conocimiento adecuado y la formación específica para que podamos confiar todos los procedimientos y tecnología adquirida por la Organización en la consecución de un entorno fiable y seguro.
Fuente:Por Antonio Martínez (seguridadinformatica.es)
No hay comentarios:
Publicar un comentario