<body><script type="text/javascript"> function setAttributeOnload(object, attribute, val) { if(window.addEventListener) { window.addEventListener('load', function(){ object[attribute] = val; }, false); } else { window.attachEvent('onload', function(){ object[attribute] = val; }); } } </script> <div id="navbar-iframe-container"></div> <script type="text/javascript" src="https://apis.google.com/js/plusone.js"></script> <script type="text/javascript"> gapi.load("gapi.iframes:gapi.iframes.style.bubble", function() { if (gapi.iframes && gapi.iframes.getContext) { gapi.iframes.getContext().openChild({ url: 'https://www.blogger.com/navbar.g?targetBlogID\x3d8923068\x26blogName\x3dPASION+POR+LOS+NEGOCIOS+por+Miguel+Ga...\x26publishMode\x3dPUBLISH_MODE_BLOGSPOT\x26navbarType\x3dBLUE\x26layoutType\x3dCLASSIC\x26searchRoot\x3dhttp://miguelgarces.blogspot.com/search\x26blogLocale\x3den_US\x26v\x3d2\x26homepageUrl\x3dhttp://miguelgarces.blogspot.com/\x26vt\x3d234276020512848305', where: document.getElementById("navbar-iframe-container"), id: "navbar-iframe" }); } }); </script>

PASION POR LOS NEGOCIOS por Miguel Garces

PicoSearch
Business Opportunities Weblog is also available en Español.

Friday, June 10, 2005

Políticas normalmente no implementadas

Quien crea que establecer políticas de seguridad es suficiente se equivoca. Hace falta llevarlas a cabo
Muchas empresas tienen políticas de seguridad documentadas, pero muy pocas de ellas las han implementado. Hoy más que nunca, al ver las problemáticas que tenemos en diferentes puntos de América Latina, me doy cuenta de que se requiere una base para que las políticas de seguridad funcionen correctamente.
Como examinador forense, me he enfrentado a todo tipo de casos; pero a muchos de ellos sólo se les puede dar seguimiento siempre y cuando exista como respaldo una política de seguridad que avale ciertas acciones y que permita realizar la investigación.
Un ejemplo claro de ello es el monitoreo de los usuarios, es decir, muchas empresas usan diferentes herramientas para poder conectarse a las computadoras de los empleados y ver qué están haciendo. Esto, en un marco legal actual –tanto en México como en otros países– puede llegar a ser ilegal.

Para que esto se pueda realizar dentro de las empresas, es necesario contar con documentación aceptada por el empleado, en muchos casos debe firmarse, para indicar que el trabajador está de acuerdo con la política que establece que pueden llegar a ser monitoreados. De igual manera, esto puede llegar a suceder con los equipos de filtrado de contenido o los equipos anti-spam, ya que monitorean e incluso buscan información en los correos enviados y recibidos por cada uno de los empleados.

Otro ejemplo es que debe existir alguna política y una carta responsiva donde se establezca la relación entre la computadora y la persona que va a hacer uso de ella; siendo complementaria la política que establezca que la información contenida o generada en ella, es propiedad de la empresa.

Esto es principalmente útil cuando tenemos algún caso donde es necesario comprobar que una persona tenía asignada una computadora, así como para poder realizar una investigación del contenido de la misma.

Como se comentó al inicio, las políticas de seguridad en las empresas son la base de la implantación de una estrategia de seguridad, pero lamentablemente son pocas las que han implementado estas políticas.

Esto es normal, y realmente se debe a que una sola persona muchas veces esta encargada de realizar las funciones de un gerente de seguridad, telecomunicaciones, infraestructura y muchas cosas más. Lo anterior ocasiona que la empresa se mueva con respecto a las necesidades del negocio, pero este mecanismo de respuesta a las necesidades impide que se documenten las políticas.
El problema, entonces, radica cuando sucede algo dentro de la empresa, ya sea la necesidad de un proceso legal (laboral) o una investigación, pues al no contar con políticas –o pueden existir en un documento pero no implementadas en los procesos–, o de no haber sido aceptadas por el empleado, nos podemos encontrar en un problema muy complicado.
No es una labor fácil, ni que se pueda concluir en un fin de semana; es un proceso.
Existen herramientas que permiten facilitarnos el proceso de creación, sin embargo, la implementación siempre será un dolor de cabeza.
Cabe añadir que las políticas empresariales pueden incluir aspectos legales que protejan a la empresa, y a los mismos empleados, de las actividades realizadas.
Y usted, ¿ya cuenta con políticas? Y éstas, ¿están implementadas?
Andrés Velázquez
Via Netmedia

posted by MG at 11:55 AM
|