Aspectos Eticos
Enviado por zaca • 28 de Octubre de 2012 • 545 Palabras (3 Páginas) • 334 Visitas
Es necesario recordar siempre que en el medio informático, en realidad no
existe la “seguridad informática” total ya que el riesgo o probabilidad de que un evento nocivo ocurra nunca es cero. Hoy en día no existe en el planeta
ninguna organización cien por ciento segura y por ello los expertos en
el tema prefieren manejar en la actualidad el principio de “administración
calculada del riesgo”. Esto significa que el proceso de lograr la seguridad
informática nunca está concluido, y nunca es total y absoluto. Por más que la
organización se esfuerce, cada día surgen nuevas amenazas, riesgos y vulnerabilidades dentro de los activos informáticos y por lo mismo el proceso debe ser permanente y evolutivo: siempre será perfeccionable. El riesgo crecerá en proporción al tiempo en el que las medidas de seguridad funcionen adecuadamente y no haya incidentes mayores. La confianza lleva a bajar la guardia y nuevas vulnerabilidades aparecen. Por ello debe continuarse en este esfuerzo permanentemente para mantener al día la metodología, las políticas de seguridad, los procedimientos, los controles y las medidas de seguridad de los activos informáticos manteniendo siempre así un nivel de seguridad adecuado
y una administración del riesgo razonable; todo ello a un costo proporcional y
razonable al valor de los bienes informáticos guardados.
Algunas de las recomendaciones puntuales a este propósito:
yy Revisar periódicamente mediante un plan al efecto las normas, políticas,
procedimientos y controles de la seguridad informática para perfeccionarlos
y mantenerlos actualizados.
yy Consolidar un grupo o comité oficial de seguridad informática con
personas, funciones y responsabilidades perfectamente establecidas.
yy Migrar periódicamente hacia las nuevas versiones de los estándares
metodológicos; siguiendo con nuestro ejemplo esto significaría migrar
del ISO / 17799 hacia al ISO / IEC 27002 y sus derivados: 27001, 27003, etcétera.
Pero ello debe hacerse en cualquier estándar que se hubiese
adoptado en la organización. Esto debe hacerse cuando aparezcan y
se estabilicen las nuevas ediciones del mismo.
yy De los inventarios, auditorías, bitácoras, etcétera se obtienen siempre
mediciones acerca de algunas estrategias y controles que siempre faltan
de implementar en toda organización o que deben perfeccionarse;
debe hacerse una revisión equivalente para evaluar los riesgos y actuar
al efecto.
yy Establecer los dominios de acción y objetivos que no satisfagan del
todo a lo estipulado por la organización e incidir con mayor rigor en
ellos.
yy Deben implantarse métricas estandarizadas para evaluar a futuro el
estado y los avances de la seguridad informática.
...