<%@LANGUAGE="VBSCRIPT" CODEPAGE="1252"%> <% Response.addHeader "pragma", "no-cache" Response.CacheControl = "Private" Response.Expires = 0 Response.ExpiresAbsolute=0 Response.Buffer = True 'strPATH_INFO = "http://" & Request.ServerVariables("HTTP_HOST") & strThisPage ' La URL de esta página Dim strThisPage strThisPage = Request.ServerVariables("SCRIPT_NAME") Session("PATH_INFO_GS1") = "http://" & Request.ServerVariables("HTTP_HOST") & strThisPage %> SEGURIDAD CORPORATIVA e-NEWS GS1 PERÚ - BOLETÍN ELECTRÓNICO ->>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      S e g u r i d a d    c o r p o r a t i v a
  | Portada | Site GS1 Perú |

DIEZ CONSEJOS PARA MEJORAR
LA SEGURIDAD DE LA INFORMACIÓN
EN LAS PYMES

      
Por: Ing. Roberto Puyó Valladares (*)
En cuestión de segundos, el dinero ha sido transferido a miles de kilómetros y el cliente sigue su camino confiado de que el monto llegará a su destinatario sin contratiempos. El ritual se repite de costa a costa. Cada año se envían más de US$ 126.000 millones en remesas a nivel mundial. México recibió US$ 17.000 millones el año pasado desde Estados Unidos, más que cualquier otro país.

Lo que los clientes no sospechan, es que los centros de envió de dinero, en particular aquellos considerados PyMEs o pequeñas empresas que ofrecen múltiples servicios, esconden graves peligros para la seguridad del dinero de los clientes y sus identidades.

El riesgo más grande es que en estos pequeños negocios, usualmente, no hay nadie encargado de la seguridad de la información. Nadie vigila que los programas antivirus estén actualizados, o en mantener las redes de protección básicas (Firewall), lo que hace que las computadoras que utilizan sus clientes se encuentren expuestos a cualquier ataque.
   
     
Los ataques de seguridad generados en este rubro crean ganancias ilícitas estableciendo redes de crédito u otras transacciones financieras lucrativas con los datos capturados en la empresa. Obviamente existen otros riesgos de seguridad en donde las PyMEs se encuentran desprotegidas, tales como: ataques externos, manipulación indebida, accesos no autorizados, además de errores humanos, fallos de los equipos y la lista sigue larga.

Sobre la base de la Norma ISO/IEC 27001:2005 de la Gestión de la Seguridad de la Información, se presentan los siguientes diez (10) consejos para proteger la disponibilidad, integridad y confidencialidad de seguridad de la información.
   
 
1.- Cultura empresarial
Para que se preserve la seguridad de la información tiene que efectuarse un cambio cultural en la organización empezando por el dueño, jefe o gerente y todo el personal. Debe verse a la seguridad de la información y los sistemas de información que soportan los procesos, como herramientas estratégicas ya que son un factor crítico en la continuidad del negocio. La seguridad de la información debe integrar, además de los recursos tecnológicos, los procesos internos y las personas. Los recursos tecnológicos son sólo un complemento de los procesos internos de la organización, encaminados a preservar la seguridad.

2.- Identificar, analizar y evaluar riesgos
A través de un minucioso estudio de nuestra instalación deberemos determinar qué es crítico en nuestro negocio, qué riesgos tiene asociados y cómo anticiparnos a ellos. No se olvide de integrar esfuerzos en la gestión de riesgos operacionales, financieros, de seguridad y salud en el trabajo con los riesgos de la seguridad de la información.

3.- Planificación
Es fundamental planificar el almacenamiento, la disponibilidad y la correcta protección de la información. Algunos directivos no son conscientes de los riesgos que pueden sufrir sus empresas como consecuencia de una mala protección de los sistemas. Por el contrario, sobre la base de un sistema sólido, la empresa será capaz de abordar nuevas soluciones basadas en la tecnología para hacer frente a un entorno de negocio complicado y cambiante.

4.- Plan de contingencia
Ningún sistema informático está exento de riesgo, por lo que todas las empresas, independientemente de su tamaño, deberían tener un plan de contingencia que les garantice la continuidad del negocio en caso de desastre.
El plan de contingencia deberá comprender, además de los sistemas, los procesos y las personas. El fin de un plan de continuidad, es regresar a la normalidad y en el menor tiempo posible. Supone tranquilidad tanto para el empresario como para el administrador de sistemas.

5.- Copias de seguridad
Una política adecuada de copias de seguridad le permitirá recuperar la información en caso de una pérdida accidental o cuando los sistemas de almacenamiento fallen inesperadamente. El soporte recomendado es la cinta, que puede ser tratada automáticamente mediante librerías de múltiples cartuchos que evitan manipulaciones y olvidos. Las copias realizadas deben almacenarse periódicamente, fuera de la empresa.

6.- Auditoria de sistemas
Periódicamente se deben establecer auditorias tecnológicas que nos aporten información sobre el nivel de seguridad de la plataforma. La información resultante nos permitirá adoptar una actitud proactiva tomando acciones antes de que ocurra un error que afecte seriamente a la empresa.

7.- Implantar normas de seguridad en la empresa
La seguridad no parece ser prioritaria para los usuarios. Un descuido o un mal uso de los recursos tecnológicos pueden poner en riesgo a toda la red de la empresa y cargar de trabajo innecesario al administrador de sistemas. La empresa debe dedicar recursos en formar, capacitar y concienciar a los empleados en un uso correcto y responsable de los recursos tecnológicos y la información que manejan.

8.- Recursos técnicos que nos protejan de amenazas externas
Es imprescindible contar con sistemas de firewall, antivirus y anti-spam. Se comete un error cuando se piensa que los riesgos sólo provienen del exterior y que la seguridad perimetral es suficiente. También se deben proteger los puestos individuales. Por ejemplo, un usuario puede introducir un virus en la red desde su puesto por medio de una llave USB o un CD. Del mismo modo un empleado puede "robar" información confidencial copiándola en un stick de memoria.

9.- Soporte técnico y mantenimiento
Todas las empresas deben contar con un responsable que supervise el buen funcionamiento de los sistemas. En el caso de una PyME, sin personal especializado en esta labor, se deberá contar con una empresa externa que proporcione soporte en caso de incidencias y que le ayude a llevar a cabo los procesos de supervisión y mantenimiento.

10.- Innovación
A partir de una política de innovación y mejora y con el asesoramiento de un especialista, la empresa puede confiar en que sus sistemas son razonablemente seguros y eficaces.
   
 
     
(*)Presidente del Comité Técnico de Normalización e Intercambio Electrónico de Datos EDI de GS1 Perú.
(* *)Sugerencias y contacto con el autor:
                  www.linkedin.com/in/robertopuyo / robertopuyovalladares@gmail.com
  
 
 
   
| Suscríbase | Contáctenos | Recomiende a un amigo | Colaboraciones | Política de publicación |
Copyright © GS1 Perú, 2009