En el entorno de negocios actual, la información que se
maneja tanto al interior de una organización como hacia el exterior de la misma
está expuesta a un gran número de riesgos, los cuales tienen un impacto
variable en los atributos de seguridad de la información: confidencialidad,
integridad y disponibilidad. En la actualidad, el principal reto está en
entender los riesgos específicos para cada entorno de negocios en particular y
también entender, o incluso medir, el impacto que estos riesgos tienen sobre la
seguridad de la información.
Tradicionalmente, cuando se habla de Seguridad de la
Información, se entiende que se requieren ciertas soluciones de hardware y
software con los que la mayoría de las empresas ya cuentan y consideran que
cubren todas sus necesidades actuales y futuras de seguridad de la información.
Estos elementos son firewalls, antivirus, antispam, filtros de contenido URL,
etc. Sin embargo, una estrategia global de seguridad de la información debe
considerar otros elementos que permiten mejorar la postura global de seguridad
de la empresa y no se limitan a atender amenazas puntuales como son el acceso
desde el exterior de la red corporativa o la existencia de virus, las cuales
definitivamente si tienen su relevancia, pero son un elemento más dentro de un
esquema general de requerimientos de seguridad.
Una Estrategia Global de Seguridad de la Información, además
de los elementos tradicionales para asegurar el perímetro de la red de la
organización, debe incluir aspectos relacionados con la Gestión de Identidades
corporativas, Control de acceso a los sistemas de información con base en
perfiles, Gestión de eventos de seguridad, entre otros.
La práctica de Seguridad de la Información tiene varios
objetivos críticos:
- Utilizar mejores prácticas para la identificación de necesidades y oportunidades para la mejora de los niveles de Seguridad de la Información.
- Emitir puntos de vista imparciales sobre las necesidades de Seguridad de la Información para proponer las mejores estrategias y herramientas para solventarlas, con el mayor costo beneficio.
- Proporcionar herramientas de Seguridad de la Información que encajen dentro de una estrategia global de seguridad para cada entorno específico, contrario a sugerir soluciones puntuales con una aportación marginal a la problemática de seguridad observada.
No hay comentarios:
Publicar un comentario