miércoles, 15 de mayo de 2019

QUÉ DEBE SABER EL AUDITOR SOBRE SEGURIDAD DE LA INFORMACIÓN

La información electrónica corporativa y personal está cada día  más disponible  a nivel nacional e internacional.  Sin embargo, es fundamental  avalar que toda la información, tanto personal como organizacional este segura,  a pesar de que la seguridad absoluta no existe. 

La clasificación de la información y la designación de responsabilidades por parte de los propietarios de la información, son importantes para garantizar que el valor de la información se está reconociendo. Es el primer paso para probar que la mayoría de depósitos de información valiosa tienen el más alto nivel de protección.

Una correcta clasificación de  la información  ayuda a garantizar el correcto nivel de resguardo que se defina e implemente. La identificación de la información debe ser realizada en un elevado nivel y además, debe reconocer amplias categorías de información.

La información se puede definir como  cualquier comunicación, hecho, dato u opinión, ciertas o no; registrada por cualquier medio,  numérica, grafica o narrativa, y conservada en cualquier medio, ejemplo, información: Cliente,  financiera, confidencial –alianzas, proyectos, problemas, etcétera- 

Todo dato  cambia en sus niveles de sensibilidad y criticidad. Algunos datos confidenciales pueden requerir un nivel adicional de protección o un manejo especializado. Con el fin de definir adecuadamente los niveles de protección requeridos y definir las necesidades de manejo especializado, debe utilizarse un esquema de clasificación de información.

La información de la organización se puede clasificar en  cuatro niveles que identifican el nivel de protección solicitado:
  1. Pública –Nivel 1-: Información no sensible, disponible a todo público.
  2. Interna –Nivel 2-: Información  accesible a empleados y a no-empleados previamente autorizados.
  3. Confidencial –Nivel 3-: información que es sensible dentro de la compañía y que debe ser usada exclusivamente por grupos específicos de empleados.
  4. Restringida –Nivel 4-: información que es extremadamente sensible y que debe ser usada únicamente por ciertos individuos dentro de la compañía.
La responsabilidad de la seguridad de la información es de la alta dirección o de áreas funcionales, esto es, Financiera, recursos humanos o sistemas. El propietario de la información es responsable de clasificarla con base en su valor y sensibilidad, aprobar accesos e Informar acerca de requerimientos adicionales para prevenir riesgos.

El director de  seguridad de la organización es el responsable de garantizar que la política es controlada y cumplida. Todo el personal o cualquier persona que tenga acceso a la información,  es responsable de garantizar su cumplimiento, clasificando adecuadamente toda la información disponible en medio –físico o magnético- y seguir los procedimientos determinados.  Todos son  responsables  de informar sobre incidentes o deficiencias del proceso.
  
El Propietario de la información debe identificar y clasificar la información de la que es responsable, y esta categorización debe basarse en los requerimientos del negocio en términos de confidencialidad de la información, debe ser protegida de accesos no autorizados, la Integridad de la información, debe ser protegida de modificación o destrucción no autorizada, sea accidental o deliberada, disponibilidad de la información, debe estar disponible cuando los usuarios la necesiten. Por otro lado,  deben establecerse procedimientos y estándares para proteger la información del cliente externo, incluyendo obligaciones y responsabilidades. Corresponde determinar los requerimientos legales para la información, en caso de que sea transferida a otro país. Cualquiera que sea su forma, la información siempre debe ser adecuadamente conservada para preservar la confidencialidad, integridad y disponibilidad de los recursos clave de una compañía.

Muchos doctos en fraudes  preguntan ingenuamente: ¿La implementación de estándares de clasificación de información asegura su uso correcto por parte de los funcionarios de la organización? ¿Los usuarios renunciarán a enviar archivos no protegidos a través de Internet corporativo? ¿Entre más percepción de privacidad, más riesgo de fraude?,¿Si usted fuera el dueño de la organización,  permitirá que sus empleados  guardaran o escondieran información personal en los recursos que usted les brinda para desarrollar sus actividades? A lo mejor no, ya que se  puede necesitar implementar más controles internos y externos. Precisamente, la participación de personas implica la posibilidad de error.

En resumidas cuentas, jamás será posible eliminar el riesgo de fraude, solo administrarlo. Sin embargo,  implementar  procedimientos adecuados, quizás  asegure que la totalidad de las energías  estén dirigidas a la protección de la información.


Hasta pronto.



0 comentarios:

Publicar un comentario