Medidas de seguridad. Javier Rodríguez Granados
Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio, son conscientes de la importancia de tener implantadas una serie de políticas de Seguridad tendentes a garantizar la continuidad de su negocio en el caso de que se produzcan incidencias, fallos, actuaciones malintencionadas por parte de terceros, pérdidas accidentales o desastres que afecten a los datos e informaciones que son almacenados y tratados, ya sea a través de sistemas informáticos como en otro tipo de soportes, como el papel. La seguridad informática de una organización debe garantizar: La Disponibilidad de los sistemas de información. La Recuperación rápida y completa de los sistemas de información. La Integridad de la información. La Confidencialidad de la información.
Políticas de seguridad Una política de seguridad una declaración de intenciones de alto nivel que cubre la seguridad de los sistemas informáticos y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán. El objetivo de la política de seguridad es establecer las pautas generales que permitan la gestión de la seguridad de la Información de manera integrada y coordinada con los requerimientos propios del negocio, las leyes que en su caso apliquen y la normativa interna de la empresa.
Política de seguridad integral Una política de seguridad integral debe cumple las siguientes funciones esenciales: Protege a las personas y a la información Establece las normas de comportamiento esperado de los usuarios, de los administradores de sistemas, de la dirección y del personal de seguridad Autoriza al personal de seguridad a realizar controles, sondeos e investigaciones Define y autoriza las consecuencias de las violaciones A partir de las Políticas podremos comenzar a desarrollar, primero las normas, y luego los procedimientos de seguridad que serán la guía para la realización de las actividades.
Estructura de la política de seguridad
Una política de seguridad debe… Ser holística (cubrir todos los aspectos relacionados con la misma). No tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave. Adecuarse a las necesidades y recursos. No tiene sentido adquirir una caja fuerte para proteger un lápiz. Ser atemporal. El tiempo en el que se aplica no debe influir en su eficacia y eficiencia. Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas. Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y, adicionalmente, Control, Autenticidad y Utilidad.
Seguridad Activa y pasiva. Seguridad activa: Tiene como objetivo proteger y evitar posibles daños en los sistemas informáticos. Podemos encontrar diferentes recursos para evitarlos como: Una de esas técnicas que podemos utilizar es el uso adecuado de contraseñas, que podemos añadirles números, mayúsculas, etc. También el uso de software de seguridad informática: como por ejemplo ModSecurity, que es una herramienta para la detección y prevención de intrusiones para aplicaciones web, lo que podríamos denominar como “firewall web”. Y la encriptación de los datos.
Seguridad Activa y pasiva. Seguridad pasiva: Su fin es minimizar los efectos causados por un accidente, un usuario o malware. Las prácticas de seguridad pasiva más frecuentes y más utilizadas hoy en día son: El uso de hardware adecuado contra accidentes y averías. También podemos utilizar copias de seguridad de los datos y del sistema operativo.