La necesidad de seguridad de la información en las empresas es un asunto sobre el cual no se ha tomado conciencia suficiente. Se cree que con un antivirus y un firewall ya está todo solucionado. Hasta al gobierno norteamericano le sucedió. Las noticias sobre Wikileaks y sobre una entrega de información por parte de un banquero suizo, hace pensar que la seguridad de la información es un proceso más humano que técnico. Se conoce que la gran mayoría de fallas de la seguridad, algunos llegan a decir que el 90%, son producidas por los mismos empleados de la empresa, y casi siempre no por malicia sino por descuido.
Y si la mayoría de los problemas están en el personal, debemos comenzar por prepararlo, en un proceso continuo. Se debe comenzar por unas conferencias o cursos, pero, se requiere un seguimiento de revisión de equipos y redes y al mismo tiempo a las personas, recordándoles principios, compromisos, prácticas y normas de seguridad, utilizando los medios que nos proveen las TICs.
Un proyecto de seguridad informática debe llevar los siguientes capítulos:
1. Seguridad de la información, en tres niveles sucesivos:
Seguridad básica:
· Preparación del personal
· Seguimiento del personal
· Implantación de políticas de seguridad.
· Implementación de sistemas antivirus en estaciones y servidores.
· Actualización permanente del software. (Sistemas operativos, programas de escritorio)
Seguridad Intermedia:
· Continuidad del negocio (en relación con sistemas)
· Backups
· Firewalls avanzados
Seguridad avanzada:
· Hacking ético.
2. Legalización del software:
· Asesoría y asistencia para tener seguridad en la legalización del software.
· Implantación de normas sobre instalación de programas
· Revisión de equipos para confirmar posibles instalaciones de programas no autorizados
3. Auditoria de sistemas:
· Mejores prácticas, siguiendo la norma ISO 27001
· Preparación de los sistemas para ISO 27001
4. Redes:
· Configuración y reconfiguración de redes alámbricas e inalámbricas
· Administración de redes
· Apoyo de redes
· Acceso a redes remotas
La seguridad básica es la menos costosa, la más esencial y la más eficiente y efectiva.
Es la menos costosa porque se busca educar al personal para que actúe ante la posibilidad de ataques, elaborar políticas por parte de la empresa y configurar las mismas herramientas que vienen con los sistemas operativos. La más esencial porque ataca la base de los problemas de seguridad: las mismas personas. La más eficiente y efectiva porque soluciona más del 80% de los problemas de seguridad.
LA SEGURIDAD INFORMATICA EN EL TIEMPO
1. Hace 20 años. Se trataba de seguridad física. Dejar bajo llave los computadores, programas y datos, además de los elementos en los que se guardaban las copias.
2. Hace 10 años. Además de lo anterior, era cuidarse de los virus.
Hoy.
La seguridad informática es una necesidad sentida debido a las condiciones en que se trabaja y a las nuevas plataformas tecnológicas disponibles. Un computador fuera de una red ya no tiene significado sino como máquina de escribir o calculadora. Las redes así como son soluciones, son fuentes de amenazas. Así la seguridad informática se presenta como una herramienta organizacional para concientizar a los colaboradores sobre la importancia de la información, que le permite a la empresa mantenerse en el mercado y crecer, conservándola libre de peligros, daños o riesgos.
TIPOS DE SEGURIDAD INFORMATICA
La seguridad informática es seguridad lógica y seguridad física y busca con la ayuda de políticas y controles mantener la misma información y los equipos que la manejan, libres de riesgos.
PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN:
Hay tres objetivos básicos de la seguridad informática.
· INTEGRIDAD: mantener la información sin modificaciones no autorizadas.
· DISPONIBILIDAD: que la información esté disponible siempre que se necesite.
· CONFIDENCIALIDAD: que la información no pueda ser conocida sino por quien tiene derecho a conocerla.
Pero existen otros objetivos que nacen de éstos:
· AUDITABILIDAD: Saber quién leyó o modificó la información.
· NO REPUDIO: El que la vio o la modificó no puede negar ese hecho.
No hay comentarios:
Publicar un comentario