miércoles, 11 de marzo de 2009

Recomendaciones del Government Accountability Office en EUA

Un estudio del Government Accountability Office en EUA arroja 12 recomendaciones para mejorar los esfuerzos de la "ciber-seguridad" en ese país. De estas 12 recomendaciones comento a continuación algunas que bien pueden aplicar a una empresa:

 

"Develop a national strategy that clearly articulates strategic objectives, goals, and priorities".

Para una empresa, podríamos traducir esto como tener un sistema de gestión de seguridad de la información (SGSI), junto con una misión y visión.

 

"Establish White House responsibility and accountability for leading and overseeing national cybersecurity policy".

La alta dirección es quien debe de impulsar y apoyar la protección de la información, teniendo en claro qué área tendrá el liderazgo en cuestiones de seguridad y que por cierto le deberá de reportar directamente a la alta dirección.

 

"Establish a governance structure for strategy implementation".

Básicamente, tener un Gobierno de Seguridad de la Información (o como dice ISACA: Information Security Governance).

 

"Focus more actions on prioritizing assets, assessing vulnerabilities, and reducing vulnerabilities than on developing additional plans".

Análisis y mitigación de riesgos.

 

"Place greater emphasis on cybersecurity research and development".

No todo es operación, hay que estar enterados de tendencias, nuevas amenazas y productos de protección...en pocas palabras, estar al día.

 

"Increase the cadre of cybersecurity professionals".

¿Tenemos un área de seguridad de la información? ¿Están capacitados? ¿Son suficientes?

 

"Make the federal government a model for cybersecurity".

Buscar que en el ramo de nuestra empresa (sector salud, industrial, etc.) seamos líderes en cuestiones de seguridad de la información...¿por qué no?

 

Si desean tener acceso a todas las recomendaciones vayan a: http://www.gao.gov/highlights/d09432thigh.pdf