17 Julio 2007
OFICINA MODERNA. El ingreso a páginas de internet no confiables puede constituirse en la puerta de ingreso para que los crackers roben información. ARCHIVO LA GACETA
En el mundo empresario hay una máxima que dice: "el que tiene la información gana mercados y tiene el poder". Con los avances informáticos, esa frase debe ser completada con otros elementos: "se gana poder y mercados, en tanto y en cuanto esos datos sean exactos, oportunos y no sean alterados". La información es un activo intangible para cualquier empresa y, por lo tanto, es necesario aplicar esquemas de seguridad informática que sostengan su confiabiabilidad y su confidencialidad, señala a LA GACETA Pablo Silberfich, socio de BDO Becher & Asociados y experto en Aseguramiento de Procesos Informáticos.
El buen manejo de la información es imprescindible para un banco, donde la mayor parte de sus transacciones son electrónicas; para una AFJP, con el fin de preservar la base de datos de sus afiliados, o para las firmas de tarjetas de crédito o de compañías de servicios públicos privatizados por la sensibilidad que tiene los datos de sus usuarios. Silberfich considera también que puede haber algunos descuidos del personal de una organización en el manejo de esa información que hace necesario ir eliminándolos paulatinamente.
"La seguridad de la información no es un problema tecnológico ni de la gerencia de sistemas, sino de todos los empleados de la empresa: desde sus dueños, pasando por los directores, los mandos medios y hasta los trabajadores en general (técnicos o no técnicos)", dice el experto. A menudo, en cualquier oficina puede observarse que los errores humanos constituyen una de las principales causas de la filtración de información crítica para la empresa.
El experto de BDO afirma que planos de fábrica, resultados financieros de una empresa, información interna de ventas o de rentabilidad pueden salir de una empresa porque el trabajador, como usuario de internet, no sabe a qué se expone al grabar datos en un CD o en un pen drive, o ingresar a páginas de la web de dudosa procedencia en las que los crackers (expertos en informática que operan en la red para delinquir) usan programas para capturar nombres y claves de usuarios. Los errores en el uso de datos críticos se dan, según Silberfich, por "el amiguismo o la informalidad en el trabajo donde una persona transfiere a otra datos como password de la PC que utiliza". "De allí los crackers controlan la información interna y tratan de ir escalando en la intranet de la empresa hasta llegar al servidor", indica.
¿Qué hacer?
Para evitar esos inconvenientes, cualquier empresa -no importa su envergadura ni la prestación de sus servicios al público- debe instrumentar un plan de concientización sobre el uso correcto de la información, apunta el experto de BDO. "Y esta política, para clasificar qué sectores del personal pueden manejar determinados datos y a cuáles les estará vedado, debe surgir de un convencimiento de los niveles de alta gerencia", acota.
Para que la protección de los datos internos de la empresa sea efectiva, se requiere del consenso e involucramiento de la alta gerencia de la empresa, sostiene Silberfich, en las siguientes cuestiones:
Considerando el Plan de Seguridad Informática con el Plan Estratégico de Negocios y de Sistemas, de acuerdo con la cultura de la rmpresa.
Definiendo normas, procedimientos de Seguridad Informática y controlando su cumplimiento (estándares de sistemas operativos, uso de Internet, e-mail, mantenimiento de passwords, roles y perfiles y acceso a transacciuones en los aplicativos de producción)
Y concientizando a los usuarios finales diariamente en las tareas de protección de datos.
LAS DEFINICIONES CLASICAS que se dan sobre la seguridad de la información, pueden ser sintetizadas de esta manera:
es una forma de evitar futuras pérdidas; es una forma de evaluar y gestionar los riesgos relacionados con la tecnología y es algo necesario para evitar que los hackers entren en nuestros sistemas.
LA INFORMACION DEBE SER PROTEGIDA, entre otras razones porque garantiza la continuidad comercial, minimiza el daño y maximiza el retorno sobre las inversiones y las oportunidades. La seguridad informática apunta a mitigar los riesgos, y la que puede lograrse por medios técnicos tiene límites y debe ser respaldada por una gestión y procedimientos adecuados en el trabajo tanto de los recursos humanos técnicos como no técnicos (usuarios finales), señalan los especialistas de BDO Becher, una firma que en Tucumán es representada por el estudio Saieg Consultores y Asociados en Dirección.
ALCANZAR LA SEGURIDAD de la información requiere como mínimo los siguientes pasos y requerimientos: evaluar los riesgos que enfrenta la organización (amenazas, vulnerabilidades, probabilidad de ocurrencia, cuantificación de los riesgos); evaluar los requisitos que deben cumplir (legales, normativos, reglamentarios, contractuales) e identificar y evaluar respecto de la información (los principios de la organización, los objetivos establecidos y los requisitos de procesamiento).
SEGUN LOS EXPERTOS BDO, la instrumentación de una sana política empresarial de seguridad informática no es costosa, ya que no requiere actualizar la tecnología (software ni hardware), sino capacitar y actualizar a todos los niveles de personal sobre las reglas de juego para el uso de la información interna (privada, pública o confidencial). También que el personal tome conciencia de que, si maneja información crítica, debe evitar fotocopiar o imprimir informes en lugares de uso común con el resto del plantel de la empresa.
El buen manejo de la información es imprescindible para un banco, donde la mayor parte de sus transacciones son electrónicas; para una AFJP, con el fin de preservar la base de datos de sus afiliados, o para las firmas de tarjetas de crédito o de compañías de servicios públicos privatizados por la sensibilidad que tiene los datos de sus usuarios. Silberfich considera también que puede haber algunos descuidos del personal de una organización en el manejo de esa información que hace necesario ir eliminándolos paulatinamente.
"La seguridad de la información no es un problema tecnológico ni de la gerencia de sistemas, sino de todos los empleados de la empresa: desde sus dueños, pasando por los directores, los mandos medios y hasta los trabajadores en general (técnicos o no técnicos)", dice el experto. A menudo, en cualquier oficina puede observarse que los errores humanos constituyen una de las principales causas de la filtración de información crítica para la empresa.
El experto de BDO afirma que planos de fábrica, resultados financieros de una empresa, información interna de ventas o de rentabilidad pueden salir de una empresa porque el trabajador, como usuario de internet, no sabe a qué se expone al grabar datos en un CD o en un pen drive, o ingresar a páginas de la web de dudosa procedencia en las que los crackers (expertos en informática que operan en la red para delinquir) usan programas para capturar nombres y claves de usuarios. Los errores en el uso de datos críticos se dan, según Silberfich, por "el amiguismo o la informalidad en el trabajo donde una persona transfiere a otra datos como password de la PC que utiliza". "De allí los crackers controlan la información interna y tratan de ir escalando en la intranet de la empresa hasta llegar al servidor", indica.
¿Qué hacer?
Para evitar esos inconvenientes, cualquier empresa -no importa su envergadura ni la prestación de sus servicios al público- debe instrumentar un plan de concientización sobre el uso correcto de la información, apunta el experto de BDO. "Y esta política, para clasificar qué sectores del personal pueden manejar determinados datos y a cuáles les estará vedado, debe surgir de un convencimiento de los niveles de alta gerencia", acota.
Para que la protección de los datos internos de la empresa sea efectiva, se requiere del consenso e involucramiento de la alta gerencia de la empresa, sostiene Silberfich, en las siguientes cuestiones:
Considerando el Plan de Seguridad Informática con el Plan Estratégico de Negocios y de Sistemas, de acuerdo con la cultura de la rmpresa.
Definiendo normas, procedimientos de Seguridad Informática y controlando su cumplimiento (estándares de sistemas operativos, uso de Internet, e-mail, mantenimiento de passwords, roles y perfiles y acceso a transacciuones en los aplicativos de producción)
Y concientizando a los usuarios finales diariamente en las tareas de protección de datos.
Claves para la seguridad informática
LAS DEFINICIONES CLASICAS que se dan sobre la seguridad de la información, pueden ser sintetizadas de esta manera:
es una forma de evitar futuras pérdidas; es una forma de evaluar y gestionar los riesgos relacionados con la tecnología y es algo necesario para evitar que los hackers entren en nuestros sistemas.
LA INFORMACION DEBE SER PROTEGIDA, entre otras razones porque garantiza la continuidad comercial, minimiza el daño y maximiza el retorno sobre las inversiones y las oportunidades. La seguridad informática apunta a mitigar los riesgos, y la que puede lograrse por medios técnicos tiene límites y debe ser respaldada por una gestión y procedimientos adecuados en el trabajo tanto de los recursos humanos técnicos como no técnicos (usuarios finales), señalan los especialistas de BDO Becher, una firma que en Tucumán es representada por el estudio Saieg Consultores y Asociados en Dirección.
ALCANZAR LA SEGURIDAD de la información requiere como mínimo los siguientes pasos y requerimientos: evaluar los riesgos que enfrenta la organización (amenazas, vulnerabilidades, probabilidad de ocurrencia, cuantificación de los riesgos); evaluar los requisitos que deben cumplir (legales, normativos, reglamentarios, contractuales) e identificar y evaluar respecto de la información (los principios de la organización, los objetivos establecidos y los requisitos de procesamiento).
SEGUN LOS EXPERTOS BDO, la instrumentación de una sana política empresarial de seguridad informática no es costosa, ya que no requiere actualizar la tecnología (software ni hardware), sino capacitar y actualizar a todos los niveles de personal sobre las reglas de juego para el uso de la información interna (privada, pública o confidencial). También que el personal tome conciencia de que, si maneja información crítica, debe evitar fotocopiar o imprimir informes en lugares de uso común con el resto del plantel de la empresa.
NOTICIAS RELACIONADAS