Cómo tener un programa de seguridad de la información actualizado

Cómo tener un programa de seguridad de la información

La adopción de nuevos sistemas, sin duda, puede mejorar los procesos de una empresa. En un mundo globalizado, donde las innovaciones y ataques tecnológicos se encuentran a la orden del día, es importante prestar atención a cualquier detalle que pueda ocasionar violaciones a los sistemas de seguridad.

1000
Juan Manzano

Director de Cyber & CIO Advisory

KPMG in Venezuela

Correo electrónico

Recientemente, la seguridad de la información de reconocidas empresas internacionales ha sido vulnerada. Organizaciones vinculadas con sectores del entretenimiento; retail; banca y finanzas; tecnología y telecomunicaciones, han reportado robo y exposición de información sensible. Estos descuidos en suscontroles, en la mayoría de las ocasiones, han afectado o interrumpido la prestación de algunos de sus servicios, ocasionando pérdidas considerables. 

 

Actualmente, las compañías están vinculando sus estrategias de negocio con las últimas tendencias e innovaciones en materia de tecnología. Esto hace que los activos de la información sean más vulnerables y por lo tanto es indispensable reforzar continuamente los programas de la seguridad de la información.


Las empresas deben tener presente que mantener un programa de seguridad de la información representa un trabajo continuo. Para mantenerlo vigente y efectivo hay que alinear constantemente la estrategia al contexto organizacional de una manera periódica. Por este motivo, KPMG en Venezuela destaca las cinco características claves que debe poseer un programa de seguridad óptimo y actualizado:

1. Alinearse al contexto organizacional: es vital considerar los riesgos, carencias, metas, estrategias de negocio y cualquier otro aspecto que requiera mejoramiento o soporte dentro de la organización. La mayoría de las iniciativas subsiguientes se fundamentan en esta alineación.

2. Mecanismos de defensa robustos: controles que anulen o limiten el accionar de un ataque sobre los activos de información. Estos serán robustos a medida que proporcionen una protección efectiva y continua. Para garantizar tal protección, es conveniente realizar un diseño integral de los controles; considerando los requerimientos de protección y posibles escenarios de ataques.

3. Capacidades efectivas de detección y monitoreo continuo: permiten descubrir anomalías y/o posibles ataques. Si complementamos los mecanismos de defensa con estos dos puntos, se puede reaccionar y contener cualquier afectación de manera oportuna.

4. Procedimiento de respuesta ante incidentes: cuando los sistemas de detección muestran indicios precisos de un evento maligno, los equipos encargados de reaccionar necesitan de un plan de respuesta, que les proporcione control sobre estas situaciones de crisis. Dependiendo del incidente y del proceso de respuesta, la organización tiene grandes probabilidades de contener el daño y recuperarse ante un incidente.

5. Verificar la efectividad de los mecanismos implementados: todas las implementaciones realizadas, incluyendo las previamente mencionadas, requieren de una verificación de sus funciones. Las pruebas sobre cada implementación son necesarias. Sin embargo, hacer un ejercicio de pruebas de penetración “Red Team”, que haga auditorías internas a las gestiones de seguridad y de TI, puede agregar mucho valor.

© 2024 Ostos Velázquez & Asociados, una sociedad venezolana y firma miembro de la organización global de KPMG de firmas miembro independientes de KPMG afiliadas a KPMG International Ltd, una entidad privada Inglesa limitada por garantía. Todos los derechos reservados. RIF: J-00256910-7.Para más detalles sobre la estructura de la organización global de KPMG, por favor visite https://kpmg.com/governance.

Contáctenos