Con el objetivo de facilitar el respaldo de información y garantizar que la información que se está respaldando es la correcta.
Una de las buenas practicas, en cuanto a la toma de copias de seguridad de los equipos de la empresa, que se debe tener en cuenta, es la de crear carpetas especificas para los archivos empresariales y otra para los archivos personales; inclusive en algunas empresas esta prohibido el almacenamiento de información personal en las maquinas, esto con el fin de garantizar que el espacio que se destine para las copias de seguridad en algún servidor de backups, sea el estrictamente necesario y así al realizar algún tipo de restauración, se demore el tiempo necesario con lo cual se optimiza el tiempo del personal de IT.
1. Formar un Plan de Protección de Información
2. Desarrollar una Norma de Tratamiento de Información
3. Desarrollar un procediemiento de Clasificación de Información (que incluye awareness a usuarios)
4. Desarrollar un instructivo de relevamiento de información (de aquí surge inclusive aquella que se «trate» desde PCs personales o por correo electrónico.Desde este último punto es que indentificamos toda la información que es contenida por los diferentes procesos funcionales y tecnológico, y según lo que hayamos definido en la Norma es lo que se va a indicar en el procedimiento sobre:
1. Donde alojar la información
2. Como asignar los permisos
3. Metodología y esquema de backupTengan en cuenta que la clasificación no solo debe determinar el CIA asociado a cada dominio de información, sino que además debe ofrecernos una respuesta sobre el tipo de información que se maneja (pública / privada / confidencial).
A nivel de política, si hemos diseñado una buena Política de Seguridad, esto ya queda contemplado… Y como es «Política», debe estar avalada por la Dirección y es de cumplimiento para todos los usuarios, por ello lo único que resta es definir el proceso de que hacer y como y capacitar en forma contíua…
Hoy puede verse que estos procesos de protección se completan con soluciones de DLP (Data Loss Prevention) o Prevención de Perdida de Información (visto desde los servidores de datos) o los ENDPOINT, regulando la protección desde los puestos de trabajo. Para esto también hace falta primeramente, clasificar la información.
Filed under: Uncategorized |
Deja un comentario