Cada vez son implementadas más políticas y candados de seguridad para las plataformas de compra online y servicios que utilizamos diariamente, esto por requerimientos de las autoridades reguladoras en cada país, y es que, aunque estas no estén a simple vista para los usuarios, no significa que no estén ahí.
Para una correcta gestión de la Infraestructura Tecnológica y una correcta implementación de políticas, las compañías suelen versar su operación en algunos ciclos de negocio y de soporte. Estos ciclos se encargan de los mecanismos (políticas implementadas) que mantienen una forma eficiente del funcionamiento de la infraestructura tecnológica, monitoreo, desarrollo de soluciones y servicios innovadores, es decir, las Instituciones se mantienen operando de forma adecuada a través de su infraestructura y desarrollo de sus plataformas.
Respecto a su control interno, tenemos que entender que las políticas son el “qué”, y los procedimientos o mecanismos son el “cómo”, la evaluación de riesgos, las actividades de control e información, la comunicación y las actividades de monitoreo, forman una parte sumamente importante en este ciclo.
Lo anterior permite que todas las empresas, compañías o Instituciones cuenten con áreas vinculadas a implementa las actividades necesarias para el funcionamiento óptimo de cada proceso con los que cuentan en las plataformas.
Estos son algunos de los siguientes marcos de tecnología de la información a los cuales deben de apegarse: 1) ISO 20000 (Information technology – Service management); 2) ISO 38500 (Information technology – Governance of IT for the organization); 3) ISO 27001 (Information Security Management System) Marco de Seguridad de la Información.
Los marcos internacionales de tecnología de la información permiten tener procedimientos con actividades que ofrezcan certeza y seguridad en la ejecución del mismo. Regularmente las medidas con las que cuentan las plataformas contienen estrictas medidas de seguridad para el acceso y uso de la información, para que esta sea transmitida, almacenada y procesada en la infraestructura tecnológica que ellos utilizan.
Algunas consideraciones son las siguientes:
• Mecanismos de identificación y autenticación de todos y cada uno de los usuarios, que permitan reconocerlos de forma inequívoca, asegurando el acceso únicamente a las personas autorizadas. Ambos mecanismos en ocasiones incluyen controles específicos para aquellos usuarios con mayores privilegios, derivados de sus funciones, tales como las de administración de bases de datos y de sistemas operativos.
• Perfiles de usuarios que limiten los accesos únicamente a la funcionalidad de la infraestructura tecnológica e información requerida, con base en las responsabilidades y facultades del puesto de cada usuario.
• Mecanismos de cifrado de la información conforme al grado de sensibilidad que las Instituciones determinen, cuando dicha información sea transmitida o almacenada.
• Composición robusta de contraseñas y claves de acceso.
• Control de sesiones no atendidas, así como de sesiones simultáneas con un mismo identificador de usuario.
• Mecanismos de seguridad, tanto de acceso físico, como ambientales y de energía eléctrica que protejan y permitan las operaciones conforme a las especificaciones del proveedor, fabricante o desarrollador de cada elemento de la infraestructura tecnológica.
Como podemos observar las tendencias en materia tecnológica para contar con candados y seguridad en las contraseñas, depende totalmente de una infraestructura integral que abarque hardware y software. Actualmente el método más eficiente y económico para las empresas es no contar con la infraestructura o centros de almacenamiento, sino que son tendientes a tercerizar estos servicios con expertos que dominen los temas de Tecnología de la Información y seguridad, lo cual presenta un mayor beneficio económico y de servicio para los usuarios.
