Seguridad TIC

Seguridad TIC
Auditorías de seguridad en tus equipos informáticos, sistemas de gestión de seguridad de la información, plan de continuidad del negocio, copias de seguridad, formación y recomendaciones de buenas prácticas. ¿Cómo andas de malware?.

QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN Y LA SEGURIDAD INFORMÁTICA

Durante el siglo pasado el activo más importante de una empresa se basaba en su infraestructura física, como edificios, maquinaria, documentos en papel, etc. Sin embargo, las empresas del siglo XXI están fundamentadas en los datos que manejamos día a día. El activo más importante que poseemos es la información, junto a los procesos y sistemas que hacen uso de ella y, por lo tanto, debemos implantar técnicas que la aseguren y permitan la inmediata continuidad del negocio en caso de catástrofe o siniestro de algún tipo.

La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

Muy conocidos son los casos de empresas que, tras el desplome sus oficinas ubicadas en las Torres Gemelas, fueron capaces de continuar con su actividad a los pocos días desde otra ubicación, ya que tenían todos sus datos convenientemente salvaguardados.

El concepto de Seguridad de la Información no debe ser confundido con el de seguridad informática, ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

En relación a todo este tema existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes (Serie ISO 27000, COBIT, OWASP, OSSTMM, etc.) concebidas con el objetivo de minimizar los posibles riesgos a la infraestructura o a la información, identificando y eliminado vulnerabilidades. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas que pudieran hacer uso no deseado con ella.

También debemos tener en cuenta que la seguridad absoluta no existe. Incluso un nivel alto de seguridad sería muy caro de implantar y muy ineficaz para muchas empresas, quedando siempre un riesgo residual que deberemos asumir. Por tanto, en función del tipo de datos a proteger, de la correcta evaluación de los riesgos, de probabilidad de que ocurran y de la política de la empresa, se pueden ir implantado paulatinamente acciones de mejora e ir mejorando la seguridad de manera progresiva.

AMENAZAS A LA INFORMACIÓN

No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tenidas en cuenta, incluso no informáticas. Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son la redundancia y la descentralización, por ejemplo mediante la realización de copias de seguridad remotas, clúster de servidores, etc.

Las amenazas pueden ser causadas por:

  • Usuarios: Causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobredimensionados, no se les han restringido acciones innecesarias, etc.
  • Programas maliciosos: Son programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado intencionadamente (o no) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
  • Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas.
  • Intrusos: Son persona que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddies, viruxers, etc.).
  • Siniestros: Como robo, incendio, inundación, etc. Una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
  • Personal técnico interno: Técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
  • Fallos de los sistemas: Pueden ser electrónicos o lógicos de los sistemas informáticos en general.
  • Catástrofes naturales: Rayos, terremotos, inundaciones, humedad, etc.

SGSI (SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN)

La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI (Sistema de Gestión de Seguridad de la Información) o ISMS (Information Security Management System) y trata de garantizar, como decía, de que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.

El SGSI es el concepto central sobre el que se construye la Norma ISO 27001 y de manera análoga a un Sistema de Gestión de la Calidad basado en la ISO 9001, o de un Sistema de Gestión Medioambiental basado en la ISO 14001, constará de Manual de Seguridad, Procedimientos, Instrucciones, Registros, etc. Estos sistemas de gestión se pueden implementar de manera conjunta en un sistema integrado y certificar por un organismo auditor acreditado, si así lo requiere la empresa.

PLAN DE CONTINUIDAD DEL NEGOCIO BRAVANTIA

Un incidente de seguridad, generado por cualquiera de las amenazas anteriores, pueda provocar una interrupción o degradación de los servicios ofrecidos por la empresa o afectar a la confidencialidad o integridad de la información.

No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de Continuidad del Negocio ya que tarde o temprano se encontrará con una incidencia de seguridad ya que es imposible una protección absoluta.

Este Plan, desarrollado de manera personalizada para su entidad por Bravantia.com desde Arnedo (La Rioja), tiene como objetivo impedir que la actividad de su empresa se interrumpa y, si no puede evitarse, que el tiempo de inactividad sea el mínimo posible para minimizar el daño causado, intentando lo siguiente:

  • Mantener el nivel de servicio en los límites definidos por la empresa y que han sido asumidos por la misma.
  • Establecer un periodo de recuperación mínimo para garantizar la continuidad del negocio. Algunas empresas pueden parar su actividad durante una semana pero otras no pueden superar unas horas.
  • Recuperar la situación inicial de los servicios y procesos. La recuperación no tiene que ser inmediata y toda al mismo tiempo, ya que puede que existan procesos más críticos que necesiten recuperarse antes.
  • Analizar el resultado de la aplicación del plan y los motivos del fallo para optimizar las acciones a futuro. Es decir, aprender de las incidencias para mejorar en la respuesta.

Este sitio web utiliza cookies propias y de terceros para optimizar tu navegación, adaptarse a tus preferencias y realizar labores analíticas. Al continuar navegando aceptas nuestra política de cookies. Aceptar