La información es uno de los activos mas valiosos de una empresa
La información de una compañía es considerada uno de los activos más importantes de la misma. En muchos casos, se ha descubierto que los propios empleados de una empresa son el punto de fuga de valiosos secretos institucionales . Por ello, la debida protección de la información es un punto importantísimo para el éxito de una compañía.
Juan Carlos Vuoso, Gerente General de Etek Argentina y Chile - proveedor líder latinoamericano en soluciones integrales de seguridad de la información – acaba de dar a conocer un documento, con los puntos a tomar en cuenta a la hora de proteger la información empresarial.
Los tópicos son los siguientes
Establecer Políticas de Seguridad que cubran toda la Información de la Compañía.
Esto incluye identificar al propietario de la información y señalar a que personas se les permite acceder a ella y en qué momento. Estas políticas deben contemplar a empleados fijos y temporales, clientes, proveedores, socios, contratistas y a cualquier otra persona asociada a la empresa.
Asegurar el "Elemento Humano".
Las personas son el elemento más importante de un programa de Seguridad de la Información. Al fin y al cabo, la difusión de información está bajo su control. El entrenamiento y conocimiento de la seguridad, por ende, es esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y responsabilidades del manejo de la información. Los contratos de confidencialidad (NDAs, no-disclosure agreement) son el medio más adecuado para advertir a los empleados sobre sus responsabilidades. Si un empleado expone secretos intencionalmente, el NDA permite terminar el contrato o demandar. La verificación de antecedentes ayuda a identificar empleados que puedan comprometer información sensible de la industria antes que ellos se vendan a otras empresas. Entrevistas y contratos de despido pueden recordarles a los empleados sus responsabilidades al dejar la empresa.
Utilizar Barreras Físicas de Seguridad.
Las barreras físicas, incluyendo puertas, entradas, cajas de seguridad, cajones y archivos con llave pueden ser utilizadas para controlar el acceso a la información. La entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos con tokens (pequeño dispositivo de hardware que los usuarios cargan consigo para autorizar el ingreso a un servicio de red) y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de destructores de papel es una práctica que permite mantener la información sensible fuera del alcance de los "recolectores de información", así como también de algunos empleados que examinan los residuos de las oficinas. Tenga en cuenta que las destructoras de papel no son 100% seguras, ya que los documentos pueden ser reconstruidos en forma manual o digital.
Actualizar sus Herramientas Electrónicas de Seguridad.
La información debe ser protegida tanto en el sitio de almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una combinación de resguardos que incluya controles de acceso, autenticación, encriptación y detección de intrusos. Los controles de acceso –claves en PCs y redes, firewalls y aplicaciones de control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden aplicarse también a registros, documentos individuales, o sistemas completos.
Adoptar una Estrategia para Planes de Contingencia y Manejo de Incidentes.
El paso final de un programa de seguridad de información es prepararse para lo peor y así poder responder a los incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos para manejo de incidentes. (MINUTOUNO)