Garantizar Una Mayor Integridad De Datos
El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación del servicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos).
La adopción de mejores prácticas debe complementarse con la formalización de las responsabilidades correspondientes a los procesos de negocio y TI que soportan y mejoran la seguridad de los datos.
La adopción de mejores prácticas debe complementarse con la formalización de las responsabilidades correspondientes a los procesos de negocio y TI que soportan y mejoran la seguridad de los datos.
Las buenas prácticas a adoptar son:
- Tomar posesión de los datos y asumir la responsabilidad de garantizar su integridad. Solo el personal de la unidad de negocio correspondiente puede ocuparse de esta tarea. Cuando se aplica la modalidad de externalización de servicios y operaciones de TI, este requisito resulta obvio, pero cuando esos servicios y operaciones se suministran a nivel interno, se suele caer en el error de considerar que los datos pertenecen al área de TI y que esta área es la responsable de preservar la confidencialidad e integridad de la información.
- Para tomar el control de la información, se debe realizar una evaluación de valores que permita calcular el costo potencial de la pérdida de la integridad de los datos y contemple las pérdidas económicas directas (por ejemplo, en caso de fraude o problemas operativos graves), los gastos judiciales y el perjuicio causado a la reputación de la empresa.
- Controlar los derechos y privilegios de acceso. Los principios de necesidad de conocer (need to know, NtK) y mínimos privilegios (least privilege, LP) constituyen prácticas eficaces y no son, en teoría, difíciles de aplicar. El crecimiento de las redes sociales y la noción de que todos somos productores de información exigen mayor amplitud y voluntad de intercambio. Las redes sociales se están transformando en una fuerza que resiste y desafía la aplicación de los principios de NtK y LP.
- Es necesario formalizar, documentar, revisar y auditar regularmente los procesos de solicitud, modificación y eliminación de derechos de acceso. La acumulación de privilegios cuando una persona mantiene privilegios históricos al cambiar de responsabilidades supone un grave riesgo para la empresa y podría afectar la segregación correcta de funciones.
- Es común en las organizaciones, no llevar un inventario completo y actualizado sobre quién accede a qué, ni se posee una lista completa de los privilegios de usuario. Varios proveedores ofrecen productos capaces de obtener automáticamente toda la información relacionada con esos privilegios.
No hay comentarios:
Publicar un comentario