5 preguntas para la gerencia preocupada por la seguridad


En los últimos años, ha cobrado relevancia la gestión de la seguridad y en especial la participación activa de la alta dirección en ella, que resulta fundamental para el logro de los objetivos en esta materia y por ende, de la empresa en general.

De acuerdo con una encuesta realizada por Enterprise Risk Management Initiative (ERM), en 2015 la seguridad de la información ha pasado a formar parte de las prioridades de los ejecutivos consultados. En este contexto, enlistamos las preguntas que el equipo de seguridad debería realizar a la gerencia que se encuentra preocupada por la seguridad en la empresa.

1. ¿Cuáles son los objetivos primordiales de la empresa?

Antes de comenzar a implementar cualquier iniciativa o control de seguridad, la primera actividad debe estar enfocada en conocer el negocio, ya que de esta forma es posible conocer lo realmente necesario para el funcionamiento de la organización, y en consecuencia, lo que debe ser protegido.
El área de seguridad de la información y sus responsables deben identificar la manera de proteger la información que es utilizada en el día a día como parte de las actividades y procesos que permiten alcanzar los objetivos de la organización y a partir de ellos, establecer objetivos y metas propias de seguridad. En otras palabras, se debe buscar la denominada alineación estratégica, de manera que cualquier esfuerzo contribuya al cumplimiento de objetivos y logro de la misión.

2. ¿Cómo participa en las iniciativas de seguridad de la información?

El éxito de la mayoría de las iniciativas relacionadas con la protección de la información se logra, entre otros factores, con los recursos y el patrocinio necesario, que involucran de forma directa a la alta dirección.

Como parte del gobierno de seguridad, la gerencia debe participar en distintas actividades, como la revisión y aprobación de políticas de seguridad, crear y participar en las estructuras dentro de la empresa que permitan mostrar su compromiso y liderazgo, autorizar auditorías o asignar responsabilidades para el área de seguridad, y en general cualquier otra tarea en la que su injerencia sea requerida.

3. ¿Se debe cumplir con alguna legislación o requisito específico?

Un elemento que debe ser considerado es el cumplimiento, lo que significa estar en conformidad con los requisitos que son aplicables para la organización, como pueden ser la legislación de cada país. Por ejemplo, pueden considerar leyes de protección de datos personales, de contabilidad o aquellas que buscan evitar fraudes en las empresas que cotizan en la bolsa de valores.

Como parte del cumplimiento, la alta dirección también debe reconocer los reglamentos, contratos o lineamientos a los cuales la organización debe apegarse como parte de las obligaciones contraídas, estimar los costos potenciales del incumplimiento, así como las acciones correctivas necesarias y los costos asociados para lograr el apego.

4. ¿Qué categorías se le asigna a los riesgos en la empresa?

Si bien cada uno tiene un concepto de lo que representa una característica cualitativa como “alto, medio o bajo” (por ejemplo cuando se habla de un riesgo) y por lo tanto se vuelven ideas completamente subjetivas, en materia de seguridad es fundamental definir criterios precisos de lo que esto significa, en ocasiones a través de consensos.
A partir de estas definiciones en las cuales la alta dirección debe tomar las decisiones finales, es posible identificar lo que representa un impacto significativo, con la intención de priorizar y atender primero lo que se considera más importante. Además, esto también está relacionado con la cantidad de recursos destinados a actividades y controles seguridad, mismos que deben ser aplicados de forma óptima.

5. ¿Cuánto presupuesto se tiene asignado para la seguridad?

Tal vez una de las preguntas más importantes está relacionada con el dinero presupuestado para la seguridad, que se encuentra estrechamente relacionado con los puntos anteriores, ya que una forma de mostrar el compromiso de la alta dirección con la seguridad, es a través de la asignación de los recursos necesarios para las tareas de esta área, principalmente los financieros, pero también del personal y el tiempo necesario.

Aunque el presupuesto depende de diversos factores, un elemento que permite conocer el dinero necesario en seguridad es la estimación de costos o pérdidas relacionados con riesgos de seguridad, mismo que se convierte en una ecuación compleja, debido a las variables que deben ser considerados para obtener un valor cuantitativo.

Finalmente, hemos enlistado estas preguntas de aplicación general, ya que se trata de las principales actividades en las que la alta dirección debería participar de forma directa; sin embargo, seguramente existe un sinnúmero de cuestiones que pueden formularse a la gerencia que está interesada en mejorar la seguridad de la información en su empresa, y éstas dependerán de los intereses, las iniciativas y actividades que se desarrollan en el área de seguridad de cada organización.

Fuente: WeLiveSecurity

Comentarios

Publicar un comentario

Entradas populares de este blog

Presuntos narcotraficantes liberados por un ransomware

Imagen
Los fiscales estadounidenses se vieron obligados a dejar caer 11 casos de narcotráfico contra seis presuntos delincuentes, después de que se perdieron archivos de casos cruciales en una infección de ransomware en un departamento de policía de Florida. Es al menos séptimo incidente conocido de este tipo: investigaciones policiales se ven afectadas por una infección de ransomware que elimina la evidencia de las fuerzas del orden. La evidencia en los 11 casos no se pudo recuperar después de un ataque de ransomware que golpeó al departamento de policía de Stuart en abril de 2019. Si bien la policía de Stuart recuperó algunos datos de las copias de seguridad, algunos archivos no se pudieron recuperar. Los archivos perdidos incluyeron evidencia en fotos y videos , dijo el sargento detective Mike Gerwan del Departamento de Policía de Stuart a WPTV en una entrevista la semana pasada. Gerwan dijo que los casos retirados incluyen cargos por posesión de metanfetamina, posesión de
Leer más

Metasploit y Windows 10: Creando un payload indetectable (Evadiendo software antivirus)

Imagen
Anteriormente escribimos un artículo donde mostramos la manera de acceder a un sistema operativo Windows 10 usando metasploit de manera local o remotamente, puedes leer el artículo aquí:  Accediendo remotamente a Windows 10 con Metasploit . Hoy les vamos a mostrar cómo ofuscar el código malicioso para que sea indetectable a los antivirus. Los entusiastas de seguridad siempre buscan exploits de día cero que pueden eludir con éxito las características de seguridad de sistemas cómo Windows 10. Se han llevado a cabo numerosas investigaciones para crear malware indetectable y proyectos completos de GitHub dedicados a automatizar la creación de payloads indetectables como WinPayloads , Veil v3 y TheFatRat . Todo lo que se explicará en esta guía se hace con fines explícitamente educativos y bajo un laboratorio propiedad de Security Hack Labs , los usos que se le puedan dar a este tutorial depende del usuario y es absolutamente responsabilidad del él los daños que
Leer más

Actualización de seguridad para VMWare Center

Imagen
  Fecha de publicación:   26/10/2023 Nivel de peligrosidad:   CRÍTICO El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación del aviso de seguridad  VMSA-2023-0023  por parte del fabricante  VMware , que corrige  una vulnerabilidad  de severidad  crítica    en su producto   VMware Center . La explotación exitosa de la vulnerabilidad indicada, descubierta por el investigador Grigory Dorodnov, permitiría a un atacante remoto  ejecutar código arbitrario   en el sistema de destino. La base de datos del   NIST   no ha registrado esta vulnerabilidad, por lo tanto, no se le ha asignado una puntuación de acuerdo a la escala   CVSSv3 . Asimismo, la vulnerabilidad ha sido catalogada por   VMware   como   crítica . Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen esta vulnerabilidad, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles del fallo reportado. Recursos afe
Leer más