jueves, 23 de junio de 2016

Aplicando políticas de uso de Internet y correo electrónico en la empresa y no morir en el intento.





Uno de los grandes retos que debe afrontar un administrador de redes (suponiendo el acostumbrado vacío del puesto CISO en la empresa y/o Seguridad) es la aplicación de políticas de uso de Internet y correo electrónico en la organización.

En esta ocasión haré referencias solo en este ámbito, sin hacer mención de seguridad de la información como ese "elemento" (piedra en el zapato) del que ni los ejecutivos ni personal de infraestructura o sistemas quiere ver muchas veces de frente, hasta que le sucede lo inesperado...

Establecer políticas de este tipo puede llegar a ser un dolor de cabeza si no se establecen las estrategias y sinergia necesaria con los lideres de la organización para su establecimiento, adopción, mejoras y adecuación pertinentes. Y con gran razón, les puedo decir que describir y establecer prioridades son fundamentales en estos procesos, pues ciertamente el trabajo a realizar por todos los usuarios es a través de activos de la organización (es el inicio de mantener armonía en las relaciones con todos los usuarios de la red y sus funciones) sonará de mala actitud una frase como: "no puede jugar candy crush en la PC de la organización ya que la PC es de la organización, el internet es de la organización e inclusive la electricidad que se consume a través del PC es un gasto que efectúa la organización"

Muchas veces hemos llegado a efectuar auditorias de uso de medios electrónicos en las empresas clientes, consiguiéndonos uso del correo electrónico para fines personales, agregados en redes de correo masivo (publicidad, mercado y otros) y claro esta nunca esta demás la expresión del usuario: "a mi nunca me dijeron que eso no se debía hacer"

Por razones como estas, en toda organización sería, responsable y preocupada por la manipulación de información y su reputación deben existir líneas claras de uso de medios electrónicos por parte de los usuarios, de allí parten los principios elementales para los subsiguientes pasos como lo son: implementación de elementos de seguridad y privacidad de la información, estándares en manipulación y resguardo de la misma, plan de recuperación ante desastres y contingencias para continuidad de negocios, entre otros.

No existe un libro ni manual en estos temas (al menos no con una fórmula mágica), aunque si la opinión de muchos expertos al respecto, no obstante algunas sugerencias le podrán ser de utilidad para desarrollar de manera paulatina, planificada y apoyada en la gerencia de su organización el establecimiento de políticas de uso de Internet y correo electrónico empresarial:

1.- Planifique las metas en el correcto uso de Internet y correo electrónico que los usuarios de la red deberían aplicar, reglas claras, precisas y detalladas, separar la información personal de la corporativa es fundamental.


2.- Establezca lineas de base, respecto al consumo de Internet y los medios con los que cuenta la organización, si por ejemplo existen 3 usuarios de la red que se conectan a través de dispositivos móviles a actualizar o gestionar su información (y hasta la de la empresa) vía iCloud, y a su vez estos, junto con el resto de la población de usuarios requieren de uso de skype para las comunicaciones corporativas, con un único acceso de Internet ADSL de 20 MBPS, entonces, no espere los mejores resultados.

Es vital como administradores de red investigar, indagar y copilar información en referente a que es lo importante para la empresa, saber cuales son los recursos con los que contamos y establecer las prioridades pertinentes.  

3.- Lleve a sus superiores un plan de acción para aplicación de políticas de uso de Internet y correo electrónico, apóyese con el departamento legal y jefes departamentales, promueva en todo momento el resguardo de la información corporativa y la reputación de la empresa. 
No debe perder el enfoque tan necesario en esta etapa, es preciso discernir lo que es fundamental para un correcto uso de los medios y lo que no lo es. Sus políticas deben ser lo más grupales posibles, al final no podrá atender al estilo del mejor cyber café del mundo las peticiones de 300 usuarios de manera simultánea si se ha prohibido el uso de Facebook en la organización.

4.- Una vez establecidos la permisología de uso de medios, entonces proceda con una comunicación global, a su vez, el departamento legal debería apoyarle en llevar en papel con un acuse de recibo al usuario lo establecido en el paso 1, es decir, lo que debe y lo que no debe hacer el usuario.

5.- Ponga su plan en marcha (hasta este momento será el mejor amigo de todos los usuarios de la red)

6.- Obtención de reportes, uso global y particular de los recursos de Internet, proceso de entonación y mediciones, siempre es importante informar a los superiores como se esta desarrollando la implementación de estas políticas. La entonación es fundamental, no debe dejarse a un lado y esto va de la mano con los recursos que disponga para determinar su capacidad, por ejemplo: tome en cuenta que al hacer uso de Internet, más del 80% del tráfico es encriptado, por ende, requerirá de buenos elementos (firewalls, proxies con una excelente capacidad de recursos internos) para "controlar, denegar o permitir" el uso de aplicaciones y acceso a sites. 

7.- "Pensar en proteger es más importante que pensar en denegar" hoy en día es casi una regla de todo administrador de red que no sea experto en materia de seguridad. 

Continúe estableciendo y midiendo resultados, es parte fundamental de una correcta gestión de redes y seguridad de la información.

Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526

No hay comentarios:

Publicar un comentario