Procedimientos y Seguridad

Procedimientos y Seguridad

Al comenzar y definir el manual de Seguridad Informática se debe establecer como primer paso la Política de Seguridad a seguir por la entidad. La política marcará la toma de decisiones y moldeará los procedimientos que se diseñarán para los procesos dentro de la misma.

La política de seguridad establecida mostrará la voluntad y deseo de la alta dirigencia de la institución para la actividad de Seguridad Informática. Ellos proclamarán cuáles son sus lineamentos, alcance, vigencia, máximos responsables por su definición, ejecución y control. Exactamente una caracterización precisa del tipo de Seguridad Informática que quieren para el entorno tecnológico, informativo y organizacional que les compete. Toda tecnología ha de ser segura para que se reporte como verdaderamente útil y no genere otros conflictos a dilucidar. La información será el activo principal a resguardar después del equipamiento tecnológico o tanto como este. La Seguridad Informática enrolará a cada segmento de la organización, a cada componente estructural o humano. Y esta política incidirá en los procedimientos definidos para el funcionamiento de toda la entidad. Cada uno de los engranajes que accionan los mecanismos habrá de girar bajo el diseño de procedimientos seguros.

No tiene sentido hablar de procedimientos establecidos y que no se contemple en ello la política de la Seguridad Informática El mantenimiento a una computadora, la asignación de una cuenta de correo electrónico, la salva de respaldo para un sistema implantado, la adquisición de nuevos softwares; todos estos procedimientos deben ser definidos cuidadosamente. El análisis o revisión de los procedimientos del sistema de gestión informática contribuye a conocer el funcionamiento interno por lo que respecta a descripción de tareas, ubicación, requerimientos y a los puestos responsables de su ejecución. Auxiliar en la inducción del puesto y al adiestramiento y capacitación del personal ya que describen en forma detallada las actividades de cada puesto. Interviene en la consulta de todo el personal. Que se desee emprender tareas de simplificación de trabajo como análisis de tiempos, delegación de autoridad, etc. Para establecer un sistema de información o bien modificar el ya existente. Para uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteración arbitraria. Determina en forma más sencilla las responsabilidades por fallas o errores. Facilita las labores de auditoria, evaluación del control interno y su evaluación. Aumenta la eficiencia de los empleados, indicándoles lo que deben hacer y cómo deben hacerlo. Enuncia las competencias de que el empleado debe disponer para el puesto. Ayuda a la coordinación de actividades y evitar duplicidades. Construye una base para el análisis posterior del trabajo y el mejoramiento de los sistemas y métodos.

Como se habrá percatado, lo mismo que todo sistema, el de Seguridad Informática contará con un manual de procedimientos cuidadosamente detallados acatando la política de seguridad. Si cada área a definido su manual de procedimientos, se pueden incorporar los mismos al manual de Seguridad Informática Supongamos que el área contable emplea un sistema automatizado del que se deben hacer salvas de información procesada diariamente. Este constituye un procedimiento a incluir en el manual de Seguridad Informática de la entidad. Pero si el procedimiento a pesar de ejecutarse diariamente no está definido y registrado en un documento se está dejando que pueda caer en el olvido o que simplemente se pierda con la ausencia del actual operador del sistema contable. Además no sería posible para terceros controlar la correcta ejecución del mismo. Hablamos de una sencilla acción vital para garantizar la disponibilidad de la información. Cuantas otras no realizamos en nuestra faena diaria y pudieran correr igual suerte.