14 de Diciembre de 2024 /
Actualizado hace 7 hours | ISSN: 2805-6396
Logo

Resultados de Búsqueda

Openx ID [25](728x110)

1/ 5

Noticias gratuitas restantes. Suscríbete y consulta actualidad jurídica al instante.

Ver planes

Noticias / General

General


Seguridad de la información, pieza fundamental en la gerencia moderna

28 de Julio de 2017

Reproducir
Nota:
30653
computador-internet-base20de20datos1big-1509241678.jpg

Sala Edición 5 - Imagen Principal

 

Iván Darío Marrugo J.

Socio Fundador de la firma Marrugo Rivera & Asociados – Futurlex

 

Andrés Felipe Contreras

Consultor jurídico.

Abogado con estudios e interés en Derecho de las Telecomunicaciones y Nuevas Tecnologías

 

El pasado 12 de mayo, varias compañías internacionales (Fedex y Telefónica, entre otras) se vieron afectadas por un ataque informático masivo mediante la modalidad de Ransomware, técnica utilizada por hackers para bloquear o “secuestrar” archivos. En esta los usuarios afectados deben pagar a los atacantes una determinada suma de dinero en su equivalente en bitcóin, para recuperar su información.

 

 

Pero, ¿es tan vital la información afectada como para diseñar todo un esquema de extorsión masiva en internet y que, conforme a ello, los dueños de tal información se vean obligados necesariamente a pagar la extorsión?

 

Para el catedrático Armand Mattelart1, las empresas que propenden por alcanzar el calificativo de multinacional, trasnacional o de “talla mundial” deben apoyar sus industrias en el avance tecnológico y el crecimiento de las redes de información. De esta forma se elimina el sesgo que mantienen las fronteras territoriales y que anula la posibilidad de que los gestores de la producción y los consumidores se interconecten en un mercado único, que se autogestione para ensalzar los intereses generales y particulares en el comercio.

 

En el actual estado de desarrollo de la industria y el comercio, se evidencia cómo los esquemas de producción de bienes y servicios, los puestos de trabajo y los mercados en general se energizan con modelos organizacionales en los que la alta gerencia de las compañías –que quieren participar de dicho desarrollo– implementa sistemas de gestión de riesgo que responden a la protección ponderada del activo empresarial más importante en la actualidad: la información.

 

Se percibe entonces cómo la seguridad de la información, vista como medio de canalización de esfuerzos y objeto directo del comercio, se convierte en un objetivo elemental dentro de toda la operación logística administrativa de una empresa.

 

En relación con lo anterior, todos los niveles que participan en el flujo de datos dentro de la organización deben aunar esfuerzos por mantener dinámicos y funcionales los diferentes modelos de gestión de seguridad de la información que se hayan implementado o se quieran implementar. La participación de la gerencia y los diferentes niveles directivos es clave en los procesos que de dicha gestión se desprendan.

 

En tal sentido, normas internacionales de estandarización que ofrecen modelos de autogestión, como las del listado de la familia ISO 27000, favorecen la asignación de labores a la dirección de las empresas en lo relativo a la implementación de los Sistemas de Gestión de Seguridad de la Información (SGSI). “La dirección debe brindar evidencia de su compromiso con el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora del SGSI:

 

a) Mediante el establecimiento de una política del SGSI.

 

b) Asegurando que se establezcan los objetivos y planes del SGSI.

 

c) Estableciendo funciones y responsabilidades de seguridad de la información.

 

d) Comunicando a la organización la importancia de cumplir los objetivos de seguridad de la información y de la conformidad con la política de seguridad de la información, sus responsabilidades bajo la ley, y la necesidad de la mejora continua.

 

e) Brindando los recursos suficientes para establecer, implementar, operar, hacer seguimiento, revisar, mantener y mejorar un SGSI.

 

f) Decidiendo los criterios para aceptación de riesgos, y los niveles de riesgo aceptables.

 

g) Asegurando que se realizan auditorías internas del SGSI.

 

h) Efectuando las revisiones por la dirección, del SGSI”2.

 

Con ello se pone de presente que la actividad gerencial permea en todo momento la aplicación de sistemas estandarizados basados en procesos que buscan implementar, operar, hacer seguimiento, mantener y mejorar el SGSI de la organización.

 

Dicho esto, es importante aclarar que, igual o más importante que constituir el sistema con sus políticas, planes, objetivos, etc., es hacer un seguimiento, control o fiscalización de la información sobre las áreas o dependencias que participan en el tráfico de datos, disponiendo, de ser necesario, toda una estructura dentro del organigrama que se dedique exclusivamente a verificar que tal sistema de gestión se esté ejecutando de forma debida. En concordancia, el decreto reglamentario de la Ley 1581 del 2012, sobre protección de datos personales, Decreto 1377 del 2013 –hoy contenido en el Decreto 1074 del 2015, capítulo 25–, establece en su artículo 23 que todo responsable y encargado del tratamiento de datos personales deberá designar a una persona o área que asuma la función de protección de datos personales, lo cual implica contar con una estructura jurídica, técnica y operativa que respalde las medidas de seguridad dispuestas en el SGSI de la organización.

 

En Colombia, estas funciones han sido delegadas por la gerencia de la mayoría de empresas en cabeza del oficial de privacidad o Chief Data Officer (CDO), quien es el primero en ser el llamado al orden para identificar si el SGSI está siendo ejecutado de forma idónea.

 

¿Qué es la evaluación integral o de 360 grados?

 

Para presentar una alternativa útil en procesos de evaluación de desempeño de personal se han implementado esquemas de valoración estructurados bajo una dinámica plurifrontal. En estos procesos lo relevante de la valoración de los trabajadores y dependencias es poder contar con un resultado que permita la retroalimentación para que, de esta forma, se impulse la autogestión dentro de la organización. Este tipo de esquemas se conoce como evaluación de 360 grados o evaluación integral.

 

Conforme a otro apartado de la ISO 27001, para el seguimiento y revisión del SGSI debe ser posible que la dirección de la organización determine si las actividades de seguridad delegada a las personas o implementada mediante tecnologías de la información se están ejecutando en la forma esperada.

 

Este esquema busca que las directivas de la organización, delegando funciones propias en el oficial de privacidad, evalúen el nivel de cumplimiento de las políticas de seguridad de la información teniendo en cuenta no solo la matriz de información proporcionada directamente por el área encargada del tratamiento y sus empleados, sino a la vez, las solicitudes de consulta y reclamaciones hechas por los titulares de la información (personas naturales y jurídicas); las recomendaciones de otras áreas de la organización que hacen uso de la información o que, cuando menos, influyen en el tratamiento que se le da; y las auditorías internas y externas propiciadas por el oficial de privacidad y otros órganos que integran la gerencia.

 

La finalidad de este proceso de evaluación 360 grados es dar al área encargada del tratamiento y la seguridad de la información una completa retroalimentación de su gestión, para que mejore su desempeño y comportamiento de una manera más objetiva al contar con diferentes puntos de vista que vienen desde jefes, compañeros, subordinados y titulares de la información, entre otros.

 

Para finalizar, la sugerencia principal es que la dirección de la organización, mediante el mecanismo, dependencia o personal que a bien tenga designar, revise y estudie el estado de implementación del SGSI en intervalos planificados de por lo menos una vez al año. Así podrá garantizar de forma integral, su conveniencia, suficiencia y eficacia. Esta revisión debe incluir la evaluación de las oportunidades de mejora y la necesidad de cambios del SGSI, incluidos la política de seguridad y los objetivos de seguridad. En segundo lugar, pero no menos importante, la gerencia debe destinar recursos suficientes para implementar un programa de gestión integral de seguridad de la información y protección de datos personales, ya que, sin ello, no sería posible trascender del plano hipotético al real.

 

1. Historia de la sociedad de la información, Paidós (Paidós comunicación 132), Barcelona 2002.

2. Norma ISO 27000. Traducida al español en el 2006.

Opina, Comenta

Gratuito

$ 0 / Mes
$ 0 / Año
  • Consulta 10 noticias mensuales.
  • Guarda y comenta los contenidos.
  • Acceso a las 3 últimas ediciones digitalizadas de la Revista Jurídica.
  • Acceso a las 4 últimas ediciones digitalizadas del periódico Impreso.
  • Club de Beneficios Legis con descuentos y contenido único para clientes.
  • Descarga los documentos jurídicos analizados en las noticias.
  • Acceda a 14 Códigos Básicos de Legis Xperta: Laboral, Medio Ambiente, Seguridad, Social, Tránsito, Código General del Proceso, Penal y Procedimiento Penal, Contratación, Contencioso Administrativo, Constitución, Conciliación, Comercio, Penal Militar, Civil, Policía.
  • Recibe boletines diarios y semanales y/o mensuales personalizados.
  • Organiza noticias personalizadas según tus intereses.
  • La más completa colección de legislación colombiana, con más de 60.000 documentos actualizados y soporte legislativo desde 1991 con análisis de vigencia en todas las áreas del Derecho.
  • Colección de Jurisprudencia colombiana, selección de los principales extractos de la Corte Constitucional, la Corte Suprema de Justicia y el Consejo de Estado emitidos desde 1991. Clasificación por áreas temáticas.
Crear mi cuenta Crear mi cuenta

Profesional

$ 29000 / Mes
$ 131000 / Año
  • Consulta 25 noticias mensuales.
  • Guarda y comenta los contenidos.
  • Acceso a las 3 últimas ediciones digitalizadas de la Revista Jurídica.
  • Acceso a las 4 últimas ediciones digitalizadas del periódico Impreso.
  • Club de Beneficios Legis con descuentos y contenido único para clientes.
  • Descarga los documentos jurídicos analizados en las noticias.
  • Acceda a 14 Códigos Básicos de Legis Xperta: Laboral, Medio Ambiente, Seguridad, Social, Tránsito, Código General del Proceso, Penal y Procedimiento Penal, Contratación, Contencioso Administrativo, Constitución, Conciliación, Comercio, Penal Militar, Civil, Policía.
  • Recibe boletines diarios y semanales y/o mensuales personalizados.
  • Organiza noticias personalizadas según tus intereses.
  • La más completa colección de legislación colombiana, con más de 60.000 documentos actualizados y soporte legislativo desde 1991 con análisis de vigencia en todas las áreas del Derecho.
  • Colección de Jurisprudencia colombiana, selección de los principales extractos de la Corte Constitucional, la Corte Suprema de Justicia y el Consejo de Estado emitidos desde 1991. Clasificación por áreas temáticas.
Suscribirme Suscribirme

Maestro Abogados

$ 63000 / Mes
$ 626000 / Año
  • Consulta noticias ilimitadas.
  • Guarda y comenta los contenidos.
  • Acceso a las 3 últimas ediciones digitalizadas de la Revista Jurídica.
  • Acceso a las 4 últimas ediciones digitalizadas del periódico Impreso.
  • Club de Beneficios Legis con descuentos y contenido único para clientes.
  • Descarga los documentos jurídicos analizados en las noticias.
  • Acceda a 14 Códigos Básicos de Legis Xperta: Laboral, Medio Ambiente, Seguridad, Social, Tránsito, Código General del Proceso, Penal y Procedimiento Penal, Contratación, Contencioso Administrativo, Constitución, Conciliación, Comercio, Penal Militar, Civil, Policía.
  • Recibe boletines diarios y semanales, con las noticias jurídicas más relevantes.
  • Organiza noticias personalizadas según tus intereses.
  • La más completa colección de legislación colombiana, con más de 60.000 documentos actualizados y soporte legislativo desde 1991 con análisis de vigencia en todas las áreas del Derecho.
  • Colección de Jurisprudencia colombiana, selección de los principales extractos de la Corte Constitucional, la Corte Suprema de Justicia y el Consejo de Estado emitidos desde 1991. Clasificación por áreas temáticas.
Suscribirme Suscribirme

Maestro Contadores

$ 63000 / Mes
$ 626000 / Año
  • Consulta noticias ilimitadas.
  • Guarda y comenta los contenidos.
  • Acceso a las 3 últimas ediciones digitalizadas de la Revista Jurídica.
  • Acceso a las 4 últimas ediciones digitalizadas del periódico Impreso.
  • Club de Beneficios Legis con descuentos y contenido único para clientes.
  • Descarga los documentos jurídicos analizados en las noticias.
  • Acceda a 9 Obras de Legis Xperta:
  • - Código Básico Laboral
  • - Código Básico de Comercio
  • - Normas de Información Financiera-Básico para Grupos 2 y 3
  • - Estatuto Tributario
  • - Régimen Explicado de Renta
  • - Guía Legis para la Declaración de Renta
  • - Manual de Retención en la Fuente
  • - Manual Práctico de IVA y Facturación
  • - Medios Magnéticos
  • Recibe boletines diarios y semanales, con las noticias jurídicas más relevantes.
  • Organiza noticias personalizadas según tus intereses.
Suscribirme Suscribirme

Openx inferior flotante [28](728x90)

Openx entre contenido [29](728x110)

Openx entre contenido [72](300x250)