Banner Superior
InfoSecurity News
 
Año 2 - N°5 | Mayo 2006
InicioPuntos de VistaEntrevistaHacking bajo la lupaNoticiase-fraudeLas LeyesPalabras de CISOHot vulnerabilitiesForo
ContactosStaffPortal InfoSecurity OnlineRecomiendanosRegistrarse
Estadisticas
lo sabias?
Carta de Lectores
Tips para un CISO
Capacitación
Toolbox
Agenda InfoSec
Productos
Bolsa de Trabajo
Links de Interes
Libro de Pases
Números Anteriores
 TIPS PARA UN CISO

 NIVEL TÉCNICO

Funciones de un Supervisor de Seguridad

(2º Parte)

Por Zacarías Leone
Investigador Forense Informático
I-SEC LEGAL & FORENSIC

I-Sec Information Security Inc.

Actividades que debe desempeñar un buen supervisor de seguridad

  • Ejercer un control rígido sobre aquello que se encuentran bajo su supervisión directa.

  • Verificar las condiciones generales en los puestos de servicio.

  • Mantener un registro completo y actualizado de los puestos de servicio bajo supervisión/fiscalización, donde aparezcan datos como: nombre y dirección del puesto, teléfonos del puesto, nombres y teléfonos de los responsables con los que debe comunicarse en caso de emergencia, nombres de los guardias del personal de seguridad, así como también otro detalle que se considere oportuno.

  • Inspeccionar los servicios de seguridad prestados.

  • Establecer, cuando se necesite, los horarios de los efectivos del personal seguridad.

  • Desarrollar un análisis de los riesgos de seguridad en los puestos de servicio.

  • Determinar qué posición debe ocupar cada profesional e indicarle cómo debe actuar en su trabajo cotidiano y en casos de emergencia.  Elaborar procedimientos sobre cómo actuar en casos específicos.

  • Crear y hacer cumplir las órdenes de servicio.

  • Entrenar a los profesionales -si es posible diariamente- en las órdenes de servicio y cualquier procedimiento pertinente a la seguridad del puesto de servicio.  Asegurarse de que las conocen y las cumplen.

  • Mantener en los puestos de servicio archivos actualizados que contengan las órdenes de servicio, manuales técnicos, oficios o comunicados emitidos o recibidos,  libros de registro de incidentes, planillas de control, etc.,  esclareciendo a  los empleados que tales documentos son "información de carácter reservado, cuyo contenido  no debe darse a conocer a ninguna persona ajena a la labor de la seguridad.

  • Instruir y motivar a los profesionales bajo su mando para desempeñar la actividad de seguridad.  Tratar de compensar las deficiencias técnicas de los individuos a través de conferencias, cursos, etc.

  • Convocar a reuniones periódicas con el personal bajo su mando para analizar el desempeño de todos los miembros del equipo, analizar sugerencias, formular críticas, revisar procedimientos y establecer nuevas rutinas de trabajo.

  • Preparar notas de instrucción, organizar murales o cualquier otra forma de poner información técnica al alcance de los empleados.

  • Tratar a los empleados con urbanidad, pero sin transigir en lo que tiene que ver con la disciplina, el cumplimiento de las órdenes de servicio y cualquier falla motivada por indolencia, negligencia o mala fe, que pueda poner en riesgo el buen funcionamiento del servicio o la integridad física de terceros.

  • Aplicar ejemplarmente las medidas disciplinarias que se necesiten, dejando constancia, de manera detallada, de la causa que motivó la sanción.

  • Cada vez que se reemplace un profesional, debe dedicarle el tiempo necesario a orientar al nuevo, para que rápidamente esté en condiciones de realizar su trabajo.

  • Desarrollar una política de concientización de la necesidad de cooperar con todo lo que tiene que ver con la seguridad, mostrando los beneficios que a todos les trae esa actitud.

  • Verificar el estado de conservación y el funcionamiento de los equipos existentes, comunicando de inmediato las irregularidades.

  • Al registrar cualquier incidente en las operaciones, utilizar el formulario aprobado  o, si este no existe, dejar constancia detallada por escrito.  Tratar de ser  claro, preciso y minucioso en la explicación de los datos importantes.  No olvidar que el registro de incidentes y los reportes constituyen documentos legales de alto valor jurídico  De ahí la necesidad de redactarlos con corrección.

  • Tener siempre a la mano copias de las diferentes legislaciones relacionadas con la seguridad informática en el ámbito nacional.

La Seguridad: Una Inversión
 
Mucho se habla sobre la seguridad informática como una carga financiera para las empresas, que genera gastos sin retorno.  Nada más falso.  Es función del supervisor hacerles comprender tanto a los clientes como a los profesionales la importancia de la actividad de seguridad como medio indispensable para la realización de los objetivos de toda institución o empresa. Ninguna organización, empresa, gobierno, etc., puede prescindir de la "seguridad informática" o de la tranquilidad que ella representa o proporciona. 

 

La seguridad exige de inversiones de todo tipo y tales inversiones, sumamente necesarias,  no pueden ser evaluadas según los parámetros tradicionales de liquidez.  Quien piensa "economizar" reduciendo la seguridad, asume riesgos a veces inimaginables.  El "retorno" de las inversiones en el campo de la seguridad se procesa de forma indirecta y puede verse en aspectos como la mayor afluencia de público a un centro  comercial, la disminución de las estadísticas de intrusiones o ataques dentro y fuera del ambiente laboral, el aumento del rendimiento de una determinada institución financiera en comparación con otra que sufre constantes asaltos, el ejecutivo que, protegido por buenos profesionales, puede dedicarse por entero a las actividades de negocio.

En resumen, la supervisión en seguridad debe caracterizarse por el respeto a la dignidad humana, debe tener en consideración la complejidad de los individuos, sus diferencias y limitaciones en lo físico, intelectual y moral.  Podemos decir, generalizando, que el buen supervisor es aquel cuya autoridad emana de su propio ejemplo, habilidad, conocimiento técnico, capacidad de ejecución, y se basa en el elevado patrón de disciplina y eficiencia que se exige a sí mismo y a sus empleados.  Es el profesional que consigue que las personas bajo su mando realicen las tareas más difíciles, motivados muchas veces tan sólo por la admiración, la confianza y el ejemplo.

Agradezco la colaboración en esta columna de ABEL ENRIQUE CASTAÑEDA

 

Zacarías Leone
Investigador Forense Informático
I-SEC LEGAL & FORENSIC
I-SEC Information Security Inc.
zacarias.leone@i-sec.org
Recomienda esta Nota a un Amigo:
Tu Nombre y Apellido:
Tu Email:
Email de tu amigo:
Nombre de tu amigo:
Apellido de tu amigo:

Banner Symantec
Banner Mc Afee
Banner 3Com
Banner Bloggers
Banner HP
Banner Sun ComWare
Banner I-SEC
Banner ASIar
Banner ComPlus
Banner Education Center
Banner InfoSecurity
Copyright © 2006 I-Sec. Todos los derechos reservadosPolítica de protección de Datos PersonalesPowered by