La seguridad de
la información y de las comunicaciones tiene por finalidad poder garantizar la
seguridad disponibilidad integridad y actualidad de la información que maneja
la organización y sus integrantes.
En la sociedad
postindustrial moderna, la información y el conocimiento es el verdadero motor
que mueve el mundo. Su valor cada vez adquiere mayor relevancia y su gestión es
fundamental para el desarrollo empresarial. En este contexto, hoy en día el
robo, bloqueo, manipulación o eliminación de la información adquiere una
importancia capital que supera con creces la del mero robo monetario.
La gestión de
la seguridad de la información tiene además otra vertiente cada vez más
importante, la legal y las responsabilidades que enfrenta la empresa o institución
pública o privada que no invierte el debido celo en su custodia, especialmente
si está referida a datos personales.
Por último pero
no menos importante está el daño a la cada vez mas importante imagen pública
que puede suponer la interrupción de servicios informáticos a los clientes o el
robo de su información privada.
Normalmente se
pone mucho énfasis en la protección informática y sobre todo en lo referente al
robo de datos a través de internet. Así
los cortafuegos, las copias de seguridad, el respaldo redundante de servidores,
los antivirus y demás panoplia de medidas de protección en red son hoy en día
la estrella de la seguridad de la información.
Es evidente que
muchas empresas precisan de internet
para el desarrollo y gestión de sus operaciones. Las grandes empresas
con múltiples centros de trabajo distribuidos geográficamente en el país o el
mundo entero, las nuevas empresas fundadas en el negocio electrónico, y otros
muchos modelos de negocio como hoteles, bancos, empresas de transporte… etc,
son altamente vulnerables a los ataques o incidentes informáticos que afecten a
su corriente continua de información, poniendo en riesgo su continuidad de
negocio, que puede verse comprometida a veces incluso por meros minutos de
caída de sus servidores informáticos. Conviene recordar por ejemplo el fallo
global sufrido por British Airways hace unos meses por un mero error de un
empleado que apago un servidor.
Sin embargo
como este mismo ejemplo pone de relieve, muchas veces, por no decir las más de
las veces, los riesgos de seguridad de la información no se deben tanto a
amenazas externas como a las internas, sea por acción deliberada o accidental.
Es por ello, que toda la seguridad informática que podamos pagar jamás
garantizará la seguridad de la información y las comunicaciones, siendo
imprescindible la adopción de medidas de gestión de la información que reduzcan
o eliminen los riesgos intrínsecos del manejo de información por parte de los
clientes internos y externos de las empresas.
Es evidente que
las grandes empresas y organizaciones, así como aquellas que fundamentan su
ventaja competitiva en las nuevas tecnologías, invierten ingentes cantidades de
dinero para internar garantizar su seguridad. Sin embargo la mayoría de la
empresas pequeñas y medianas ni tienen la capacidad ni sienten la amenaza, o
más bien la asumen como una lotería que simplemente esperan no toque a su
puerta.
Por otro lado,
la vulnerabilidad se acrecienta con la popularización de nuevos dispositivos
portátiles con conexión a internet, capaces
de almacenar y tratar información y recibir información. Tablet y
smartphones y su uso discrecional, despreocupado y abusivo incrementan
exponencialmente el riesgo de ataques a la seguridad de la información. Eso sin
contar con la amenaza adicional de sus cámaras y dispositivos de grabación en
manos desleales.
Los recientes
ataques informáticos recibidos por muchas empresas, especialmente las pequeñas
y medianas, mucho más vulnerables, a las
que se les llegaba a chantajear para recuperar su información o directamente
veían borrados datos irremplazables pone de relieve la importancia de una
adecuada política de protección de seguridad de la información y las comunicaciones
en cualquier organización por pequeña o poco vulnerable que se sienta.
Existen una
serie de sencillas medidas que
pueden ser tomadas por cualquier empresa por pequeña que sea:
La primera es
un análisis de los riesgos y su impacto para priorizar cuales son los más
graves y así poder reducirlos o minimizarlos. En base a ello habrá que realizar
el oportuno plan de seguridad de la información.
Es fundamental
la formación y concienciación del personal para que puedan cumplir las normas
que se establezcan.
Hay que
establecer un sistema de clasificación de la información que determine su
relevancia y criticidad en base a tres elementos:
- Quienes deben conocerla. Normalmente la información más critica sólo debe ser conocida por un numero reducido de empleados.
- El impacto económico de su perdida, filtración o modificación.
- Las consecuencias legales de su perdida filtración o modificación..
En base a ello
hay que ser muy cuidadoso a la hora de determinar que información y
documentación va a estar disponible en servidores públicos o privados vía
internet o intranet, y como va a estar disponible, para quien y en su caso,
como se va a registrar el acceso a dicha información.
Hay que aislar
la información sensible evitando usar para su visionado y tratamiento
dispositivos vulnerables, básicamente aquellos con acceso a internet. La
información sensible no debe estar contenida dentro de los propios
dispositivos, a pesar de lo cómodo que resulte, sino en dispositivos de memoria
externos, preferiblemente memorias solidas y a ser posible con algún mecanismo
que limite su posible acceso no autorizado. Cuando se deba tratar esta
información en dispositivos con acceso a internet este debe ser inhabilitado
mientras se trabaja con dicha información. Además conviene tener duplicada esta
información y por supuesto guardada a buen recaudo cuando no se esté usando. Y
por supuesto jamás usar dispositivos de almacenamiento que nos hayan regalado o
prestado, solo aquellos que provea la organización o comprados personalmente.
Debe
establecerse una adecuada política de acceso de la información, solo aquella
que se necesita, pero toda aquella que
sea necesaria. De esta forma se evita la saturación informativa, garantizando
que todo el personal tiene la información precisa para realizar su trabajo con
eficacia y eficiencia a la vez que se reduce el riesgo de filtraciones así como
se facilita acotar la fuente de las mismas.
Es necesario
llevar un registro de quienes acceden o se le facilita información relevante o
legalmente protegida como es la de carácter personal.
Los equipos de
tratamiento de información deben estar protegidos contra accesos no
autorizados. Es deseable implementar sistemas de seguridad más avanzados que la
mera contraseña, como puede ser sistemas de lector de tarjetas o de huellas
dactilares. Además los equipos deben de bloquear la sesión automáticamente
cuando estén inactivos.
Hay que mostrar
la necearía disciplina en el uso del correo electrónico, sabiendo diferenciar
claramente los usos personales y profesionales en cuentas separadas. Conviene
copiar los correos que se desee guardar de forma rutinaria en memoria externa,
borrar aquellos que dejan de tener valor y conservar en el buzón de correo solo
los necesarios para el trabajo operativo o que se deban responder mientras sea
estrictamente necesario. Por supuesto, el personal debe estar instruido sobre
no abrir correo alguno de fuentes no conocidas o sospechosas.
Llegado el caso
hay que valorar que información puede ser compartida a través de internet, y
cual por su trascendencia puede ser conveniente enviar de forma excepcional
mediante correo físico certificado, para
garantizar su integridad y privacidad.
Es muy
conveniente llevar un buen registro de equipos informáticos profesionales,
incluyendo tablets y smartphones. Lo deseable es facilitar a los usuarios de
información los equipos precisos para su trabajo, sin privilegios de
administración, y con las herramientas de software precisas para las tareas
encomendadas. A partir de ahí se pueden adoptar múltiples medidas informáticas
de control del uso de los dispositivos, según sean las necesidades.
Es deseable que
no se maneje y trate o comunique información relevante desde dispositivos
particulares. Cuando ello sea preciso, es necesario inhabilitar previamente el
acceso a internet y el bluethood para garantizar la seguridad de la información
y nunca dejarla en el propio equipo, sólo en una memoria externa con las
debidas medidas de seguridad contra uso indebidos.
En función de
la información manejada se debe valorar la posibilidad de impedir el acceso de
dispositivos móviles o portátiles particulares a determinadas áreas. Incluso
facilitar a determinado personal smartphones de empresa debidamente limitados
en sus funciones de grabación y reproducción de imágenes, para su uso en estas
áreas restringidas. Hoy en día cualquier reunión o llamada telefónica puede ser
grabada con suma facilidad gracias a los dispositivos móviles.
Uno de los
temas a los que generalmente menos importancia se dá, es al control de la
actualización de la información. Normalmente la información y documentación
rápidamente pierde valor o debe ser
actualizada. De no llevarse a cabo una efectiva política de actualización y
distribución, registro y destrucción de información, siempre se corre el riesgo
de que circule simultáneamente diversas versiones de un documento o se maneje
información obsoleta creando malos entendidos, confusión e incluso toma de
decisiones erróneas.
Por supuesto
también hay que impedir la posibilidad de modificaciones no autorizadas de la
información. La información solo debe poder ser revisada y alterada por quien
esté debidamente autorizados. Se deben emplear para su distribución formatos
que impidan su alteración.
Por último, se
deben establecer mecanismos que permitan garantizar la autoría y
responsabilidad de la creación o autorización de la introducción de la información en los canales
de la organización, sean mediante firma impresa, electrónica o cualquier otro
método.
Por supuesto
como todo programa de acción, debe ser evaluado, auditado y revisado para
comprobar su eficacia y mantener su vigencia ante los cambios tecnológicos y de
la organización.
A partir de ahí
y en base al tamaño, importancia o necesidad del empleo de servicios on line
para la gestión o el desarrollo de los negocios, existen muchas más medidas que
evidentemente precisarán personal altamente cualificado para su planificación e
implementación efectiva.
Como bien
podrán ver, garantizar un mínimo de seguridad de la información, no solo es
vital para la continuidad de negocio de cualquier organización por pequeña que
sea y una obligación legal en muchos casos, sino que además es posible
invirtiendo escasos recursos materiales, con un poco de organización junto a
disciplina y buena fé por parte de los usuarios.
“El
conocimiento es poder”, y como tal puede ser usado de muy diversas formas y
para muy distintos fines. Proteger nuestro conocimiento, saber usarlo, e
impedir que sea empleado en nuestra contra, es no solo necesario, sino
imprescindible en la nueva sociedad del conocimiento y la información.
El conocimiento se adquiere leyendo la letra pequeña de un contrato, la experiencia; no leyéndola.
Jose Federico Villamil Calva
fedevillamil@fortiumsc.eu
Coordinador del blog
Coordinador de la División Fortium ITS
Coordinador de la División Fortium ITS
Muy buen artículo, felicidades
ResponderEliminarCoin Casino Bonus Codes | Best CA Online Casinos
ResponderEliminarThe latest ⭐ Coin Casino no Deposit Bonus kadangpintar Codes for December 카지노 2021. Claim Free Coins, C$1600 Bonus and start 인카지노 winning Real Money!