Aspectos Eticos
zaca28 de Octubre de 2012
545 Palabras (3 Páginas)360 Visitas
Es necesario recordar siempre que en el medio informático, en realidad no
existe la “seguridad informática” total ya que el riesgo o probabilidad de que un evento nocivo ocurra nunca es cero. Hoy en día no existe en el planeta
ninguna organización cien por ciento segura y por ello los expertos en
el tema prefieren manejar en la actualidad el principio de “administración
calculada del riesgo”. Esto significa que el proceso de lograr la seguridad
informática nunca está concluido, y nunca es total y absoluto. Por más que la
organización se esfuerce, cada día surgen nuevas amenazas, riesgos y vulnerabilidades dentro de los activos informáticos y por lo mismo el proceso debe ser permanente y evolutivo: siempre será perfeccionable. El riesgo crecerá en proporción al tiempo en el que las medidas de seguridad funcionen adecuadamente y no haya incidentes mayores. La confianza lleva a bajar la guardia y nuevas vulnerabilidades aparecen. Por ello debe continuarse en este esfuerzo permanentemente para mantener al día la metodología, las políticas de seguridad, los procedimientos, los controles y las medidas de seguridad de los activos informáticos manteniendo siempre así un nivel de seguridad adecuado
y una administración del riesgo razonable; todo ello a un costo proporcional y
razonable al valor de los bienes informáticos guardados.
Algunas de las recomendaciones puntuales a este propósito:
yy Revisar periódicamente mediante un plan al efecto las normas, políticas,
procedimientos y controles de la seguridad informática para perfeccionarlos
y mantenerlos actualizados.
yy Consolidar un grupo o comité oficial de seguridad informática con
personas, funciones y responsabilidades perfectamente establecidas.
yy Migrar periódicamente hacia las nuevas versiones de los estándares
metodológicos; siguiendo con nuestro ejemplo esto significaría migrar
del ISO / 17799 hacia al ISO / IEC 27002 y sus derivados: 27001, 27003, etcétera.
Pero ello debe hacerse en cualquier estándar que se hubiese
adoptado en la organización. Esto debe hacerse cuando aparezcan y
se estabilicen las nuevas ediciones del mismo.
yy De los inventarios, auditorías, bitácoras, etcétera se obtienen siempre
mediciones acerca de algunas estrategias y controles que siempre faltan
de implementar en toda organización o que deben perfeccionarse;
debe hacerse una revisión equivalente para evaluar los riesgos y actuar
al efecto.
yy Establecer los dominios de acción y objetivos que no satisfagan del
todo a lo estipulado por la organización e incidir con mayor rigor en
ellos.
yy Deben implantarse métricas estandarizadas para evaluar a futuro el
estado y los avances de la seguridad informática. En este sentido serán
útiles metodologías tales como el ISO 27004 o semejantes.
154
INVESTIGACIÓN BIBLIOTECOLÓGICA, Vol. 24, Núm. 50, enero/abril, 2010, México, ISSN: 0187-358X, pp. 127-155
yy Todavía es prematuro, pero la tendencia es que en un futuro cercano
se buscarán certificaciones de organizaciones acreditadas al efecto.
Para el estudio, toma de decisiones y conveniencia de hacerlo, se recomienda
revisar los estándares EA-7 03 (de la European Accreditation)
así como los nuevos ISO 27006, ISO 27001, ISO 19011 e ISO 17021. Independientemente de que la certificación sea deseada o no por la organización, las metodologías mencionadas serán muy útiles para las actividades de la persona o grupo interno de seguridad de la organización.
Finalmente, es muy importante que recordemos que podemos diseñar entornos de seguridad informática para cualquier organización que no necesariamente requerimos
...