Los mensajeros de los dioses (VIII). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

En otro orden de cosas, como buenos gestores de la seguridad de la información, habremos de comunicar el papel del Servicio de Atención Telefónica en el área de la seguridad de la información cumpliendo un doble objetivo, dotar de valor añadido al servicio de información como sonda en la gestión de la seguridad y cumplir con la responsabilidad legal de difundir las obligaciones de los profesionales de la organización. El procedimiento de gestión de incidencias de seguridad de la información, el mecanismo del registro de accesos, el protocolo de entrada/salida de información, los derechos de los usuarios del servicio, etc., son ejemplos de los contenidos de la comunicación, que inicialmente tendrá el objetivo de sensibilizar, posteriormente el de formar y en última instancia el de educar.

Recapitulemos, en primer lugar se ha esbozado lo que a criterio del autor podría ser la razón de que el servicio de atención telefónico implantado en la organización no esté ofreciendo mucha de la información que demanda el ciudadano, a continuación se han expuesto referencias de autoridades de control en las que se aludían soluciones legales que permitirían dar un vuelco a esta situación, y en tercer lugar se han apuntado y analizado algunas cuestiones que deben considerarse para que este cambio se lleve a cabo de forma segura. Pero faltaría fundamentar todo esto en un buen análisis de riesgos, tanto los derivados de mantener inactivo o incompleto el servicio como de ponerlo a disposición de los interesados. Riesgos que en el momento de optar por la correspondiente medida para su mitigación habrán de tener presente la relación coste-beneficio.

Al igual que comentábamos en relación a los planes de adecuación a la normativa de protección de datos y al esquema nacional de seguridad, por alcance y por extensión, no procede hacer aquí dicho análisis de riesgos, baste comentar que a nivel nacional disponemos de metodología para ello[1].

[1]MAGERIT: método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *