La seguridad en las redes empresariales es, sin lugar a dudas, uno de los elementos más importantes e intrínsecos en toda organización, con una relación de importancia directamente proporcional a los niveles de manejo de información del negocio pero a su vez, con un rango de superior nivel de importancia en lo referente a su continuidad, es decir: "el negocio depende de la seguridad" les explico mi punto de vista a continuación:
La evolución e importancia que ha adquirido este tema es de tal magnitud (y es tan amplio y extenso) que hasta el concepto ha cambiado, madurado y llevado inclusive a abrir (relativamente) nuevas carreras, profesiones y hasta puestos de trabajo, pues debemos discernir entre el rol de un Administrador de Redes y un CISO (Oficial de Seguridad de la Información) que no es un cargo muy común en varios países en empresas de latinoamérica.
Un Administrador de Redes se encarga precisamente de eso, de administrar redes y recursos, mientras que un CISO tiene un conjunto de roles y responsabilidades muy diferentes pero estrechamente vinculada en la materia. Muchas empresas añaden o acoplan ambas funciones en un mismo cargo endosando al cargo de Administrador de Redes responsabilidades de un CISO, sin mencionar que hay casos en las que el cargo de Help Desk asume un tres en uno.
En tiempos pasados (y quizá aún esto suceda en la empresa donde laboras) "el jefe" podría llegar a pensar que este rol tenía que ver más a jugar a "policía y ladrón" que a formar parte de manera neurálgica en todos los procesos de esta, que si hay que evitar que la secretaría este jugando Clash of Clans, que los muchachos de sistemas este descargando contenido vía BitTorrent, que sí los usuarios se están conectando al Wifi y se están distrayendo en sus deberes, entre muchas otras penurias y dolores de cabeza...
Hoy en día las cosas han cambiado, pues la continuidad del negocio y las operaciones en general depende de un buen establecimiento de "políticas y procesos" gestionado directamente por seguridad, No se puede hablar de seguridad de la información si no se toma en cuenta privacidad de la información, no se puede hablar de contingencia de servicios si no se le atribuyen los recursos y medios necesarios a la continuidad del negocio, no será posible lograr armonía sin cientos de aspectos técnicos y no técnicos a tomar en cuenta: "políticas de uso aceptable de medios, manipulación de información corporativa, respaldos y recuperación de desastres, seguridad física y lógica, contingencias respecto a proveedores de acceso, líneas de base, mejores practicas, estándares vinculados a sistemas de gestión, alarmas, logs, reportes" etc. etc. etc...
Haciendo referencia a un poco de teoría tenemos dos aspectos fundamentales en este sentido:
1.- Establecimiento de un Sistema de Gestión de Seguridad de la Información SGSI nos permitirá conocer rápidamente la famosa triada: Confidencialidad, Disponibilidad e Integridad, tan vital en el manejo de este tema.
2.- Círculo de Deming PDCA, ISO/IEC 27001 como parte de un proceso de gestión que se adapta a los cambios internos y externos de la organización
Hasta este momento, si "el jefe" ha leído el contenido de este post, posiblemente se dará cuenta que la responsabilidad y peso de la seguridad de la red va más allá de jugar al "polícia y al ladrón" y que incluye hasta el monitoreo de la temperatura del aire acondicionado de la sala de servidores (esperemos que así sea)
Desde mi particular punto de vista une empresa que no contemple este tema y que a su vez ponga a su nivel (alto) la importancia de la "Seguridad" es una empresa que estará, sin lugar a titubeo alguno a un paso del debacle.
Adrián Gómez.
Director General, Gerente de Operaciones.
Servicios de Proyectos y Consultoría SGSI 0526
No hay comentarios:
Publicar un comentario