34 - Cómo ser Oficial de Seguridad y no morir en el intento - 20/05/2006


Autor: Lic. María Solange D'Antuono

http://www.segu-info.com.ar



Muchas veces nos hemos preguntado como actuar en algunas situaciones de nuestra vida diaria como Oficial de Seguridad. Estos son algunos consejos a tener en cuenta:


Situación 1: "Tengo que implementar una Política de Seguridad, como el directorio retrasa el permiso para ejecutarlo, genero el documento y lo distribuyo por la empresa". ¡Error! Nunca debemos implementar una política sin el debido apoyo de la gerencia. ¿Por qué? Sólo con el respaldo de la Dirección se podrá bajar línea a las gerencias inferiores, para que nuestra política sea aceptada. Intentar imponer por la fuerza una política sin ese apoyo, sería "suicidio" laboral: ¿Cómo se nos ocurre implementar algo que involucre a toda la organización sin el consentimiento de quien maneja el negocio? Por eso, primero busquemos el visto bueno necesario, y luego avancemos.


Situación 2: "Como soy el Oficial de Seguridad se hace lo que me parece correcto y no permito que se me contradiga ". ¿Les parece que ser una representación viviente de Darth Vader dará resultado? Lamento informarles que no. La realidad es que nosotros formamos parte de una Organización, y para poder sobrevivir tenemos que aprender a convivir. Si nos ponemos en contra a la gente con nuestra actitud, cuando necesitemos la colaboración de los diferentes sectores en el cumplimiento o ajuste de los controles, terminaremos en vuelo raso hacia una pared.


Situación 3: "Implementemos este estándar de seguridad, y después esperamos que se quejen". Ejem ... No creo que el equipo de Mesa de Ayuda se sienta muy contento con la cantidad de llamados que va a recibir, y ni les cuento los administradores de los sistemas cuando les sacan la línea de comando y no les dan alternativa o metodología de trabajo para poder seguir ejecutando sus operaciones. Además, cuando tengamos que llenar nuestro tablero de control con el análisis de incidentes, la curva ascendente llegará al cielo, y sin jugar a la rayuela.


Situación 4: "La seguridad implementada en la empresa es excelente, porque tengo 2 firewalls, 3 DMZ, 16 IDS y 5 IPS ". Bueno... Podríamos analizar la infraestructura de seguridad, y posiblemente a nivel perimetral estaremos bastante pulidos. Pero no nos olvidemos la regla de oro: el 80% de las intrusiones son internas. La seguridad se implementa por capas, y lo que puede lograrse por medio de la tecnología es limitado. La seguridad debe estar siempre acompañada de una gestión y marco normativo y de procedimientos.


Situación 5: "Estimados socios, hice un análisis de riesgo y decidí comprar todo este equipamiento sin previa aprobación porque considero que la seguridad es lo mas importante". A partir de ese momento estarás nominado para abandonar la academia... digo, la empresa. Nunca olvides que lo más importante para la empresa es el NEGOCIO, y el objetivo de cualquier negocio es hacer dinero. Nosotros como encargados de seguridad debemos brindar los medios necesarios para asegurar la disponibilidad, integridad y confidencialidad de la información, previamente clasificada por el Dueño de Datos / Delegado.


Estos son los primeros tips de seguridad, más adelante, y en base a nuestra experiencia y vivencias, iremos agregando más información.



Buenos Aires, 20 de mayo de 2006



Actualidad

Virus-Antivirus