La seguridad informática, también conocida como ciberseguridad o seguridad de tecnologías de la información, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.
La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.
Puesto simple, la seguridad en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una definición general de seguridad debe también poner atención a la necesidad de salvaguardar la ventaja organizacional, incluyendo información y equipos físicos, tales como los mismos computadores. Nadie a cargo de seguridad debe determinar quién y cuándo puede tomar acciones apropiadas sobre un ítem en específico. Cuando se trata de la seguridad de una compañía, lo que es apropiado varía de organización en organización. Independientemente, cualquier compañía con una red debe tener una política de seguridad que se dirija a la conveniencia y la coordinación.
Principios
Tomando como punto de referencia la definición en si de lo que es seguridad informática se puede hablar de acciones, políticas, principios y prácticas necesarios para que exista un resguardo robusto de la información y los sistemas que la manejan.
En este particular Romero (2002) enumera ocho principios básicos a considerar para mejorar la seguridad en los sistemas informáticos:
1. Principio de menor privilegio: establece que cada usuario solo debe tener los privilegios necesarios de acuerdo a la función que desempeña dentro de la organización.
2. Seguridad no equivale a oscuridad: Se establece con este principio la percepción de que el no conocer las vulnerabilidades del sistema no lo hace inmune a fallos o amenazas, por el contrario el conocimiento de ellas conllevará a proveer las medidas de seguridad necesarias para subsanarlos.
3. Principio del eslabón más débil: este principio propone proteger los posibles puntos que representen una mayor vulnerabilidad para el sistema ante amenazas. Siempre haciendo énfasis en seguir las prácticas de seguridad establecidas.
4. Defensa en profundidad: Plantea el establecimiento de mecanismos de protección en varios niveles sucesivos con el objetivo de implantar múltiples defensas de la información ante cualquier amenaza que se pueda presentar.
5. Punto de control centralizado: Propone en cierto sentido figurativo y práctico una especie de embudo invertido de seguridad, es decir, que el sistema tenga un solo punto de acceso, con varios mecanismos de seguridad para acceder a la información.
6. Seguridad en caso de fallo: Expone que en caso de que una amenaza (externa o interna) tenga éxito al penetrar el sistema, éste permanezca en un estado de bloqueo de seguridad hasta tanto se solvente la situación.
7. Participación universal: se necesita para esto el acuerdo entre todos los usuarios en poner en práctica todas las medidas de seguridad planteadas y establecidas dentro de la organización con observancia constante de las mismas.
8. Principio de simplicidad: lo que se persigue con este principio es el fácil entendimiento y manejo de la información, evitando la complejidad lo más necesariamente posible; esto evitará fallos y puntos débiles.
Prácticas
En cuanto a las prácticas de seguridad mencionaremos diez prácticas utilizadas con frecuencia para la seguridad de los sistemas informáticos.
1. Alinearse con los objetivos del negocio. Es imprescindible tener una comprensión completa del entorno de la organización: objetivos primordiales, cuáles son los datos de mayor relevancia, cuáles son los procesos críticos. De esto se derivarán las políticas y acciones que se deberán implementar en cuanto a la seguridad.
2. Elaborar un mapa de riesgos. Tiene que ver con el análisis de los riesgos a los que está propensa la organización o negocio, tomando en cuenta tanto la infraestructura como el recurso humano y sus capacidades y conocimientos en las áreas donde se desempeñan; esto proveerá un panorama más claro al establecer las medidas de seguridad.
3. Diseñar un plan o programa estratégico de seguridad de la información. Partiendo de lo anterior, se construirá un plan utilizando las medidas que más se adapten a los objetivos de la organización.
4. Definir e implementar políticas y lineamientos de seguridad. El establecimiento de reglas, normas y procedimientos para el manejo de la información dentro de la organización es crucial para lograr los objetivos. Estos lineamientos deben abarcar a todos los que de una u otra forman interactúen con y dentro de la organización. Obviamente deben tener cierto grado de flexibilidad para un mejor desempeño.
5. Capacitar para asegurar. Toda empresa que desee tener éxito debe considerar una campaña de educación, concientización, adiestramiento y capacitación al recurso humano con que cuenta. Ya que la mayor amenaza proviene de las personas, para obtener un mayor rendimiento de la seguridad informática es precisamente mantener al personal informado y capacitado para el desempeño de sus funciones, comenzando desde las áreas de mayor riesgo hacia las demás.
6. Conformar un equipo y un comité de seguridad. Formalizar la función del oficial de seguridad es una práctica muy recomendable hoy en día. Pero hay que considerar que este personaje requiere un equipo de trabajo, conformado por especialistas en la materia y con conocimientos en diferentes campos de la misma.
7. Desarrollar aplicaciones seguras desde su origen. El software que las compañías diseñen, ya sea externa o internamente, debe contemplar cuestiones de seguridad, para que desde el origen cuente con la mayor protección posible frente a amenazas.
8. Mantener bajo control al outsourcing (fuentes externas). Todas las actividades desarrolladas en outsourcing deben bajarse a niveles de servicio para medirlos La periodicidad de estas evaluaciones dependerá del tipo de servicio involucrado.
9. Medir el nivel de seguridad en la compañía. Para conocer el avance de la estrategia de protección, y ver si los objetivos se están cumpliendo, es necesario medir su progreso, a través de métricas, con las que se evalúen la tecnología, los procesos y las personas. Se detallará con cifras o porcentajes de avance en cada área.
10. Definir y probar un Plan de Recuperación en Caso de Desastres. Se refiere este particular a desarrollar un plan de respaldos continuos y permanentes utilizando los medios disponibles para ello: Data Ward house, discos espejo, nubes, y otros. Para esto es imperativo la observancia de los sistemas de contingencia en forma periódica haciendo un análisis de impacto al negocio, para ver si realmente se está respaldando y recuperando lo verdaderamente importante y si se han contemplado todos los escenarios posibles.
Publicar un comentario:
0 Comentarios: