Header Ads

Principios básicos de Seguridad de la Información

Hablar de seguridad de la información y no de seguridad informática, para no limitarla sólo a conceptos relacionados con la informática.

En esta columna responde algunos temas claves, y plantea que una política de seguridad adecuada hace a una “buena práctica empresarial”.

¿Porqué seguridad de la información y no seguridad informática?

Una organización básicamente esta compuesta de activos importantes que le permiten realizar sus actividades, generar rentabilidad y darle continuidad a sus negocios.

Particularmente la información es un activo que tiene un valor fundamental para la organización y debe ser protegida de un modo adecuado.

Llamamos seguridad de la información y no seguridad informática, a fin de globalizar el concepto de información, su uso y protección en todas las actividades de una empresa, y que no sea limitada solamente a conceptos relacionados con la informática, teleinformática o automática.

La seguridad de la información protege a la información respecto a una amplia gama de amenazas a fin de asegurarle a la organización que los riesgos, los daños y el impacto sean mínimos, además de asegurar que la rentabilidad o relación costo/beneficio sean los mejores.

La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo, contratos, planificaciones, reportes internos), puede almacenarse electrónicamente (servidores, PC’s, memorias, pendrives), magnéticamente (discos rígidos, tarjetas de acceso, disquetes) u ópticamente (CD, DVD), enviarse por correo electrónico, visualizarse en películas o videos, y comunicarse oralmente en una conversación de persona a persona.


Sin importar la forma que posea la información SIEMPRE debe protegerse adecuadamente.
La seguridad de la información debe conformase de controles, políticas, procedimientos, concientización y entrenamientos que aseguren que todo el mundo (incluído usted) tomen las precauciones necesarias para preservar:
- Confidencialidad: asegurando que solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
Integridad: asegurando que la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento.
Disponibilidad: asegurando que la información estará disponible siempre que usted o cualquier otra persona autorizada necesite hacer uso de ella.

Si alguien roba un activo de información (laptop, informe, disquete, etc.), una persona no autorizada podría leer y difundir la información contenida. Desde esta situación podemos aseverar, en principio, que esta en peligro la confidencialidad de la información. Ahora si la persona no autorizada, corrompe, modifica o borra la información contenida, impactaría directamente en problemas de integridad. Finalmente, si la información contenida no fue copiada en otro soporte a modo de resguardo (backup), podrían sucederse problemas de disponibilidad, dado que ninguna persona accedería a esta información.

¿Cuál es la importancia de la seguridad de la información?

Casos prácticos:
1. Presté mi clave y mi tarjeta de acceso a un compañero de trabajo, y este encontró información confidencial sobre planes estratégicos de la empresa, sin saberlo, lo divulgó entre sus amigos, uno de ellos es empleado de la competencia, y utilizó esta información mostrándosela a sus jefes que se apoderaron del plan y salieron primero en el mercado. Nuestra empresa perdió millones de pesos.
2. Baje unas fotos y otros archivos de Internet, sin tomar la precaución de pasarles un antivirus. Al parecer estos archivos tenían un virus “gusano” que deterioró la red dejándola inactiva por mas de una semana.
3. Un empleado de limpieza, durante la noche, descubrió papeles con información confidencial en los cestos de los directivos de la empresa. Estos papeles contenían información de los clientes actuales, y los próximos pasos a seguir con relación a un nuevo producto. Dicha información fue “vendida” a una empresa competidora.

Un plan de acción que fortalezca la seguridad de la información impide que la información:
- vaya a parar a las manos equivocadas
- se pierda irremisiblemente
- se utilice con fines no autorizados

La confidencialidad, integridad y disponibilidad de la información puede resultar esencial para mantener la competitividad, flujos de caja, rentabilidad, cumplimiento jurídico e imagen comercial de la organización.
Las organizaciones y sus redes de información (informáticas o no) deben afrontar cada vez en mayor medida las amenazas en lo que a seguridad se refiere: fraudes por computadora, virus, delitos informáticos, robo de información interna, hackers, crackers, sabotaje, espionaje, vandalismo, etc. Estas amenazas van avanzando día a día con el avance de la tecnología, y se vuelven más sofisticadas de detener.

Las vinculaciones de redes internas de la organización con otras redes externas (Extranet, Internet, Redes públicas), dificultan el proceso de control de accesos, obligando a que sean más rigurosos en relación a las personas y los activos que ellas utilizan.

La seguridad de la información es un proceso que evoluciona con toda la organización, si bien esta  coordinada y centralizada en el departamento de seguridad (IRM – Information Risk Management), involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma (cadena de valor completa). Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos, debemos complementarlos con un detallado análisis de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado.

¿Qué relación tiene esto conmigo?

La seguridad de la información es asunto SUYO.

Usted es directamente responsable de su manera de tratar las cuestiones de seguridad.
Tratar la seguridad de la información de manera correcta, de acuerdo con las normas y principios, es una buena práctica empresarial. De esta forma se muestra a los clientes, accionistas y proveedores que pueden confiar en la empresa, puesto que sus empleados actúan con integridad y profesionalidad.

La seguridad de la información es, con frecuencia, tan solo una cuestión de disciplina y algo que deberíamos recordarnos los unos a los otros.

No hay comentarios.

Copyright 2008 - 2016: CXO Community - Todos los derechos reservados. Imágenes del tema de Petrovich9. Con tecnología de Blogger.