Roles de Seguridad

Para que la seguridad sea efectiva, es importante definir roles individuales, responsabilidades y autoridades. Estas deben ser claramente comunicadas y entendidas por todos. En el ámbito de la seguridad se identifican los siguientes roles:

Dueño,
Custodio,
Usuario,
Auditores

Dueño

El dueño es la entidad que descansa sobre una persona física o rol que es el responsable de la protección y uso del activo en cuestión. Es el dueño quien debe tomar las responsabilidades y ayudar para evitar cualquier acto de negligencia. Los dueños deciden sobre la clasificación de sus activos y delegan la responsabilidad de mantener los niveles asociados a los custodios.
En una empresa un activo fácilmente identificable será la información de nómina de todos los empleados. El dueño identificable podría ser el director de administración y es éste quien debe asignar la clasificación a su activo y el nivel de seguridad requerido. El profesional de la seguridad debe ayudar a base de su experiencia y conocimientos al dueño.

Custodio

El custodio es la persona física o rol que se encarga de mantener los niveles de protección adecuados en base a las especificaciones del dueño del activo. Es muy común que este rol lo tome el departamento de TI para activos de información; las tareas que estos custodios deben realizar incluyen el respaldo periódico de los datos, implantación de mecanismos de seguridad, verificación regular de la integridad, restauración a partir de los respaldos cuando sea necesario y cumplimiento de los lineamientos en las políticas de seguridad, estándares y guías pertinentes.

El custodio no está autorizado a cambiar los niveles de seguridad ni clasificación de los activos que cuida; esta tarea es responsabilidad directa del dueño. Siguiendo el ejemplo anterior, el departamento de TI recibe la custodia de la nómina en una base de datos y debe realizar todas las acciones necesarias para poder otorgar el nivel de seguridad requerido por el director de administración.

Usuario

El usuario es considerado un individuo que utiliza regularmente a los activos para actividades relacionadas con su trabajo. Ellos deben tener los niveles necesarios de acceso de acuerdo a su posición y deben seguir los procedimientos establecidos para salvaguardar la integridad, confidencialidad y disponibilidad para otros.

Auditores

Los auditores tienen un papel de tercero. Son responsables de proveer aseguramiento independiente a la administración. Los auditores se encargan básicamente de revisar y emitir reportes sobre el cumplimiento de los lineamientos de seguridad.

Ser auditor es toda una disciplina aparte. Por esta razón se han desarrollado certificaciones profesionales para esta área

Roles de Negocio

Empleado

Debido a que las personas están consideradas ser el eslabón más débil de la seguridad, una compañía debe desarrollar y seguir buenas prácticas para evaluar a sus empleados. Los nuevos reclutas tiene que ser procesados por diferentes procedimientos para asegurar que su incorporación a la compañía no generará un riesgo a la compañía. Una buena práctica es la inclusión de un acuerdo de confidencialidad dentro del contrato laboral. Este documento asegura poder actuar legalmente contra quien actúe de forma indebida haciendo uso incorrecto de los activos de la compañía o causando un daño en contra de la misma.

El acuerdo de confidencialidad necesita ser desarrollado y firmado por los nuevos empleados para proteger a la compañía y su información más crítica. Todo conflicto de intereses debe ser indicado y por ende debe existir diferentes acuerdos y precauciones de acuerdo al tipo de contrato; los individuos de carácter temporal deben ser tratados de forma diferente a los contratos de planta. Tareas como la búsqueda de referencias, verificación de actividades laborales anteriores, verificación de estudios declarados, estudios socio – económicos, pruebas de salud (incluyendo adicciones), etc. deben ser realizadas; los perfiles de personalidad también son requeridos. Las pruebas de actitud bajo diferentes escenarios pueden ayudar a conocer al candidato y saber si no representa un peligro para el puesto al que se postula.

La terminación de un empleado es otro punto importante en donde la seguridad se ve involucrada; dependiendo de la situación en que el retiro se dé, las personas pueden reaccionar de diferentes formas. Por ende, las compañías deben tener diferentes procedimientos para cada escenario de separación laboral. Ejemplos de estos procedimientos son:

Desalojo de las instalaciones bajo escolta,
Entrega de los equipos asignados y accesos a sistemas,
Revisión del acuerdo de confidencialidad,
Entrevista de salida,
Cancelación de las cuentas de usuario,
Cambio inmediato de contraseñas a los que el empleado tenía acceso

< Anterior		Siguiente >

Joomla SEO powered by JoomSEF

Últimos artículos

Más popular

Conectar con Facebook...

Connect with facebook

Web design and development of myApi

I'm sorry to login using myApi, the Facebook Connect bridge for Joomla you need Javascript enabled. After enabling Javascript you can use myApi to post comments, see facebook pages, and link accounts

Main Menu