vit0y4

Bueno, vamos a empezar por el principio XDD
¿planeación?
Bien, la planeación es un concepto que esta estrechamente ligado con la sabiduría y la experiencia, ya que no existe planeación sin un conocimiento previo acerca de lo que se va a planear, según la RAE (Real Academia de la Lengua Española) planeación o planeamiento es la "acción o efecto de planear", lo que como siempre no nos dice nada..XDD ¿que es planear?? ¿¿que es hacer un plan??? nuevamente vayamos a la RAE, que nos dice que un plan es: "Modelo sistemático de una actuación pública o privada, que se elabora anticipadamente para dirigirla y encauzarla", esto si nos da una idea mas clara de lo que es un plan, es algo que nos debe mostrar el camino a seguir sobre algo que vamos a hacer.
Cuando vas a hacer un viaje, y lo sabes con anticipación, generalmente si ya haz viajado, tienes una idea clara qué necesitas, en caso que no, te asesoras de alguien que ya lo haya hecho. Es probable que si intentas viajar cuando nunca lo has hecho se te pasara algún detalle, debido a tu poca experiencia... lo mismo ocurre con otros tipos de planes, lo principal para planear es la experiencia y el conocimiento.

Entonces ahora ustedes se preguntaran para que toda esta carreta de la planeación acá, planear es la acción mas íntimamente relacionada con la gestión, si queremos gestionar la seguridad de la información en un entorno empresarial, primero debemos comenzar por conocer la empresa, sus procesos y la información que manejan los mismos. Gestión es un termino que usamos en referencia al termino Inglés "management", gestionar según la RAE es Hacer diligencias conducentes al logro de un negocio o de un deseo cualquiera, esto nos recuerda en gran parte el concepto de plan, ya que estas "diligencias conducentes" no pueden realizarse de forma improvisada ya que en términos de seguridad los costos podrían ser muy altos para la organización. Por tal razón debemos partir de la idea de que sin conocimiento y experiencia, no hay planeación, y sin planeación no hay Gestión.

¿Gestión de Seguridad?
Si, Gestión de seguridad informática, es la planeación de las actividades necesarias para establecer unos controles que disminuyan en gran proporción la probabilidad de riesgo en los activos de informáticos de una empresa. De esta idea parten todas las metodologías de gestión de seguridad existentes en nuestro medio.

¿Qué necesitamos para hacer una gestión efectiva de la seguridad informática?
1. Conocer los procesos de la empresa, la información que manejan estos procesos.
2. Listar todos los activos informáticos de la empresa: Se entiende por activo informático todos aquellos activos que de una u otra forma están relacionados(almacenamiento y manipulación) a la información en la empresa.
3. Valorar los activos en términos de Integridad, Disponibilidad y Confiabilidad.
4. Identificación de las Amenazas existentes en el entorno y las Vulnerabilidades de nuestros activos (en esta parte entran los test de vulnerabilidad que tanto nos gustan.
5. Medir el impacto en términos de tiempo de recuperación económica y moral que tendría el aprovechamientos de estas vulnerabilidades en nuestros activos.
6. Establecer los controles que mitigan el riesgo, y definición del riesgo residual del cual se responsabiliza la empresa.
7. Estos controles se pueden agrupar en servicios de seguridad que especifiquen las actividades necesarias para implementarlos, con responsables, fechas e indicadores de efectividad.
8. Constante revisión de estos puntos para reconocer cambios en el entorno que obligen mejoras a nuestra gestión.
9. Definición de planes de contingencia para el caso en el que fallen o falten controles. Manejo de incidentes y capacidad de aprendizaje de estas experiencias, para en aumentar los controles y garantizar que el incidente presentado no volverá a ocurrir.
10. Divulgación de planes y actividades en toda la empresa. (Capacitaciones de ser necesarias) Esto generalmente se incluye como un control, para combatir el riesgo de la ignorancia en el personal.

Básicamente esto es lo mismo que se realiza en una metodología de gestión de seguridad que lo que pretende es darnos un orden en la realización de estos puntos, y los documentos que deben resultar.

Recuerden siempre tener la autorización de la directiva de la empresa donde vayan a realizar el trabajo y que este tipo de trabajos no es una auditoria, ya que los activos deben ser mirados sin sus controles extrínsecos y en ningún momento se hará una calificación de la efectividad de los controles encontrados, pero si se debe establecer como se evaluaran los controles escogidos por nosotros, porque para que exista una gestión de seguridad efectiva la evaluación de los controles debe ser constante.

Preguntas, comentarios y sugerencias aquí...

Chaosito..

__________________