Durante el siglo pasado el activo más importante de una empresa se basaba en su infraestructura física, como edificios, maquinaria, documentos en papel, etc. Sin embargo, las empresas del siglo XXI están fundamentadas en los datos que manejamos día a día. El activo más importante que poseemos es la información, junto a los procesos y sistemas que hacen uso de ella y, por lo tanto, debemos implantar técnicas que la aseguren y permitan la inmediata continuidad del negocio en caso de catástrofe o siniestro de algún tipo.
La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.
Muy conocidos son los casos de empresas que, tras el desplome sus oficinas ubicadas en las Torres Gemelas, fueron capaces de continuar con su actividad a los pocos días desde otra ubicación, ya que tenían todos sus datos convenientemente salvaguardados.
El concepto de Seguridad de la Información no debe ser confundido con el de seguridad informática, ya que este último solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
En relación a todo este tema existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes (Serie ISO 27000, COBIT, OWASP, OSSTMM, etc.) concebidas con el objetivo de minimizar los posibles riesgos a la infraestructura o a la información, identificando y eliminado vulnerabilidades. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas que pudieran hacer uso no deseado con ella.También debemos tener en cuenta que la seguridad absoluta no existe. Incluso un nivel alto de seguridad sería muy caro de implantar y muy ineficaz para muchas empresas, quedando siempre un riesgo residual que deberemos asumir. Por tanto, en función del tipo de datos a proteger, de la correcta evaluación de los riesgos, de probabilidad de que ocurran y de la política de la empresa, se pueden ir implantado paulatinamente acciones de mejora e ir mejorando la seguridad de manera progresiva.
No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tenidas en cuenta, incluso no informáticas. Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son la redundancia y la descentralización, por ejemplo mediante la realización de copias de seguridad remotas, clúster de servidores, etc.
Las amenazas pueden ser causadas por:
La gestión de la seguridad de la información debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización. Este proceso es el que constituye un SGSI (Sistema de Gestión de Seguridad de la Información) o ISMS (Information Security Management System) y trata de garantizar, como decía, de que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.
El SGSI es el concepto central sobre el que se construye la Norma ISO 27001 y de manera análoga a un Sistema de Gestión de la Calidad basado en la ISO 9001, o de un Sistema de Gestión Medioambiental basado en la ISO 14001, constará de Manual de Seguridad, Procedimientos, Instrucciones, Registros, etc. Estos sistemas de gestión se pueden implementar de manera conjunta en un sistema integrado y certificar por un organismo auditor acreditado, si así lo requiere la empresa.
Un incidente de seguridad, generado por cualquiera de las amenazas anteriores, pueda provocar una interrupción o degradación de los servicios ofrecidos por la empresa o afectar a la confidencialidad o integridad de la información.
No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda organización necesita un Plan de Continuidad del Negocio ya que tarde o temprano se encontrará con una incidencia de seguridad ya que es imposible una protección absoluta.
Este Plan, desarrollado de manera personalizada para su entidad por Bravantia.com desde Arnedo (La Rioja), tiene como objetivo impedir que la actividad de su empresa se interrumpa y, si no puede evitarse, que el tiempo de inactividad sea el mínimo posible para minimizar el daño causado, intentando lo siguiente: