Proteccin de la informacin: Inseguridad por falta de buenas prcticas? - ELTIEMPO.

COM
Colombia Jueves 19 de julio de 2007

Page 1 of 1

Buscar

Patrocinado por:

Inicio
Bogot

Blogs

Foros

Reportajes Grficos
Deportes Poltica

Blog Doctor Beta

Tv y Farndula Viajar

Cdigo de tica
Vida de hoy

Licencias
Cine

Ayuda
Historias de la ciudad Tecnologa Familia

Colombianos en el exterior

Arte y Cultura

eltiempo.com / participacion / blogs /

Inseguridad Informtica
Proteccin de la informacin: Inseguridad por falta de buenas prcticas?.
19/07/07| Por: inseguridad

Reciente revisando un documento publicado por el responsable del gobierno electrnico de los Estados Unidos, se establecen los 10 riesgos ms relevantes que no permiten una adecuada proteccin de la informacin. Podramos decir que estas 10 declaraciones establecen como un declogo de "pecados" que potencian la inseguridad informtica en las organizaciones. Esto quiere decir que si se atacan estas 10 afirmaciones expuestas en el documento slo se avanzar en la batalla contra la inseguridad de la informacin, pues siempre existe la variable o contexto no contemplado que permite nuevamente una situacin que nos exige pensar en alternativas para mantener un nivel de inseguridad informtica aceptable. Dicho de otra manera un nivel de exposicin al riesgo que podemos aceptar y manejar, teniendo en cuenta que si se materializa dicho riesgo, las consecuencias son claras y previstas por la organizacin (hasta donde sea posible). El documento de la Oficina de Gobierno Electrnico de USA, es la muestra evidente de que en el gobierno existe la preocupacin por el tema de la inseguridad de la informacin y que sta hace parte de los planes estratgicos de la nacin, como una ruta crtica para mantener la funcionalidad y operatividad de la nacin. Aunque frecuentemente las brechas de seguridad de datos y sistemas son objeto de noticias internacionales. Si bien Colombia no es una nacin de primer mundo, poco a poco a venido desarrollando una infraestructura importante de computacin (y telecomunicaciones) y operacin donde participan los bancos, las empresas de telecomunicaciones, el mismo gobierno, la academia y la empresa privada. En este sentido, pensar en un ejercicio de evaluacin sobre lo que llamaramos infraestructura crtica de la nacin, basado en un anlsis sistmico de los diferentes sectores productivos seran til para dimensionar los esfuerzos de continuidad que requiere la nacin ante un incidente que afecte la infraestructura mencionada. Finalmente y para mantener el foco de esta reflexin, los riesgos sugeridos por el informe de la oficina de gobierno electrnico de USA, debera ser materia de anlisis de nuestra Agenda de Conectividad, quien se encuentra a cargo de este tema, para que se inicie la reflexin requerida alrededor del tema con todos los actores involucrados en esta problemtica. Los 10 riesgos propuestos por el documento son: http://csrc.nist.gov/pcig/document/Common-Risks-Impeding-Adequate-Protection-Govt-Info.pdf 1. Security and privacy training is inadequate and poorly aligned with the different roles and responsibilities of various personnel. 2. Contracts and data sharing agreements between agencies and entities operating on behalf of the agency do not describe the procedures for appropriately processing and adequately safeguarding information. 3. Information inventories inaccurately describe the types and uses of government information, and the locations where it is stored, processed or transmitted, including personally identifiable information. 4. Information is not appropriately scheduled, archived, or destroyed. 5. Suspicious activities and incidents are not identified and reported in a timely manner. 6. Audit trails documenting how information is processed are not appropriately created or reviewed. 7. Inadequate physical security controls where information is collected, created, processed or maintained. 8. Information security controls are not adequate. 9. Inadequate protection of information accessed or processed remotely. 10. Agencies acquire information technology and information security products without incorporating appropriate security and privacy standards and guidelines.

http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurs...

19/07/2007