Elaborado por: Yelitza Rivas, C.I. 12.507.115
Estudiante de postgrado de Auditoria de Sistemas y Seguridad de la Información
Los activos de información a proteger en una organización son: Hardware, Software, RRHH y procesos, pero el principal activo que se debe proteger es el recurso humano porque existen muchos riesgos de hurto, fraude o mal uso de la información por parte del personal. La norma ISO 17799, en la sección 6 establece las medidas que se deben tomar con el personal, ya que son estos los que van a utilizar los sistemas de información y ciertamente el personal que va a trabajar por ejemplo en el centro de cómputo depende, en gran medida de la integridad y lealtad de su personal, por lo que es requisito fundamental al reclutarlos hacerles exámenes psicológicos y médicos y tener en cuenta sus antecedentes de trabajo. Se deben considerar sus valores sociales, su estabilidad, ya que normalmente son personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y comportamiento.
El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero en la profesión en algunas ocasiones se cuenta con personas que subestiman los sistemas de control, deben existir adecuadas políticas del personal, tales como una adecuada política de vacaciones, ya que esto permite evaluar la dependencia de lagunas personas, otra es la políticas de reemplazo en caso de renuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organización y la política de rotación del personal que disminuya la posibilidad de fraude, en este caso tenemos que si una persona comete un fraude y lo cambian a otra actividad, puede ser fácilmente detectable porque la nueva persona que está en su lugar se pudiera dar cuenta. Estos procedimientos implican altos costos para las empresas pero se pueden detectar a tiempo algunas irregularidades o se puede conocer la honestidad de algunos, o quién es indispensable y quién no.
Otro aspecto relevante es la motivación del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, lo que disminuirá la posibilidad de ataques intencionados a la organización. Una de las formas de lograr la motivación es otorgarle al personal capacitación y la actualización que se requiera, así como proporcionarle las retribuciones e incentivos justos.
En muchas ocasiones el mayor riesgo de fraude o mal uso de la información está dentro del mismo personal, y la mayor seguridad está en contar con personal leal, honesto y con ética. Para lograr esto se debe contar con personal altamente capacitado, motivado y con remuneraciones adecuadas. Pero también se debe preveer la posibilidad de que exista personal malintencionado, para lo cual se deben tener los controles de seguridad señalados, los cuales deben ser observados principalmente por el personal del área de informática.
Las organizaciones podrán implementar los mejores códigos de ética, manuales de políticas y procedimientos y poner en práctica efectivas medidas antifraude, aun así todos estos mecanismos de control sólo podrá atenuar, mas no evitar la existencia de grandes quiebras y fraudes.
No existen antídotos para eliminar la carencia de valores, las personas no adquieren valores cuando adquieren un título universitario, tampoco lo adquieren como medicamento para inyectárselo. Lo adquieren en su infancia, como parte esencial de: la educación, la cultura, la confianza, el respeto, la autoestima y principalmente el amor que haya recibido en su hogar.
Estudiante de postgrado de Auditoria de Sistemas y Seguridad de la Información
Los activos de información a proteger en una organización son: Hardware, Software, RRHH y procesos, pero el principal activo que se debe proteger es el recurso humano porque existen muchos riesgos de hurto, fraude o mal uso de la información por parte del personal. La norma ISO 17799, en la sección 6 establece las medidas que se deben tomar con el personal, ya que son estos los que van a utilizar los sistemas de información y ciertamente el personal que va a trabajar por ejemplo en el centro de cómputo depende, en gran medida de la integridad y lealtad de su personal, por lo que es requisito fundamental al reclutarlos hacerles exámenes psicológicos y médicos y tener en cuenta sus antecedentes de trabajo. Se deben considerar sus valores sociales, su estabilidad, ya que normalmente son personas que trabajan bajo presión y con mucho estrés, por lo que importa mucho su actitud y comportamiento.
El personal de informática debe tener desarrollado un alto sistema ético y de lealtad, pero en la profesión en algunas ocasiones se cuenta con personas que subestiman los sistemas de control, deben existir adecuadas políticas del personal, tales como una adecuada política de vacaciones, ya que esto permite evaluar la dependencia de lagunas personas, otra es la políticas de reemplazo en caso de renuncia de alguna persona permitirá que, en caso necesario, se pueda cambiar a una persona sin arriesgar el funcionamiento de la organización y la política de rotación del personal que disminuya la posibilidad de fraude, en este caso tenemos que si una persona comete un fraude y lo cambian a otra actividad, puede ser fácilmente detectable porque la nueva persona que está en su lugar se pudiera dar cuenta. Estos procedimientos implican altos costos para las empresas pero se pueden detectar a tiempo algunas irregularidades o se puede conocer la honestidad de algunos, o quién es indispensable y quién no.
Otro aspecto relevante es la motivación del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad, lo que disminuirá la posibilidad de ataques intencionados a la organización. Una de las formas de lograr la motivación es otorgarle al personal capacitación y la actualización que se requiera, así como proporcionarle las retribuciones e incentivos justos.
En muchas ocasiones el mayor riesgo de fraude o mal uso de la información está dentro del mismo personal, y la mayor seguridad está en contar con personal leal, honesto y con ética. Para lograr esto se debe contar con personal altamente capacitado, motivado y con remuneraciones adecuadas. Pero también se debe preveer la posibilidad de que exista personal malintencionado, para lo cual se deben tener los controles de seguridad señalados, los cuales deben ser observados principalmente por el personal del área de informática.
Las organizaciones podrán implementar los mejores códigos de ética, manuales de políticas y procedimientos y poner en práctica efectivas medidas antifraude, aun así todos estos mecanismos de control sólo podrá atenuar, mas no evitar la existencia de grandes quiebras y fraudes.
No existen antídotos para eliminar la carencia de valores, las personas no adquieren valores cuando adquieren un título universitario, tampoco lo adquieren como medicamento para inyectárselo. Lo adquieren en su infancia, como parte esencial de: la educación, la cultura, la confianza, el respeto, la autoestima y principalmente el amor que haya recibido en su hogar.