¿Qué es la seguridad de la información?

Jueves, 13 Marzo 2014 Escrito por  AsesorTIC
Publicado en Productividad

 seguridad

Son muchos los conceptos que se hallan tras la pregunta ¿Qué es la seguridad de la información? por lo que el objetivo de este artículo es responderla y que pueda comprenderse la gran importancia que tiene la seguridad de la información y de los datos para cualquier clase de organización y empresa.

La Seguridad de la Información consiste en proteger una de las partes más importantes del negocio, la información. Sin embargo debemos distinguir entre “Seguridad Informática”, que es la protección de las infraestructuras tecnológicas sobre las que funciona la empresa y “Seguridad de la Información”, que tiene como objetivo la protección de sistemas e información en cuanto a que estén siempre accesibles (disponibilidad) y que no puedan ser alterados malintencionadamente o por error (integridad) y cuidando que el acceso a ella sea permitido sólo a las personas autorizadas (confidencialidad).

Analizando desde este punto de vista nos damos cuenta de la importancia que tiene la Información para nuestro negocio y en ocasiones no prestamos la atención necesaria a sucesos que ocurren o en el peor de los casos ni somos conscientes de que se producen. Más cuando los usuarios y directivos pueden acceder a los datos de la empresa desde el exterior, vía Internet. Si esto es así, entonces la información vital de la empresa y procesos están muy próximos a sufrir daños y ataques, estando claramente en situación de riesgo. Probablemente estemos pensando que controlar todo lo que rodea a los procesos de información es una tarea difícil de realizar, pero la respuesta la tenemos en los llamados "Sistema de Gestión".

Un Sistema de Gestión aplicado a la Seguridad de la Información (SGSI), tiene como objetivo mantener siempre el riesgo por debajo de unos umbrales asumidos por la propia organización. Para esto es necesario implementar herramientas que permitan analizar y ordenar la estructura de nuestros sistemas de información, establecer procedimientos de trabajo para definir la seguridad y disponer de controles que permitan medir la eficacia de las medidas de seguridad que tenemos implementadas, sin olvidar que todo esto se debe revisar periódicamente, realizando mejoras constantemente y siempre bajo las directrices de una política de seguridad definida por la organización.

¿Pero todo esto es necesario?, ¿Estamos realmente en peligro? La respuesta es siempre SÍ. Todas las organizaciones y especialmente las empresas donde existe una motivación económica están expuestas tanto externa como internamente a sufrir ataques de diferente naturaleza: virus, daño de imagen, sabotaje, beneficio económico, fuga de información, fallos técnicos, errores humanos, fuego, inundación y otros, son algunas de las amenazas a las que una organización está expuesta.

El mayor esfuerzo de las empresas se dedica a marketing y a recursos humanos, dejando a un lado la implementación de medidas de seguridad o en el mejor de los casos poniendo en marcha soluciones reactivas que responden a los problemas producidos y olvidando medidas preventivas.

Actualmente, la inversión en recursos tecnológicos de seguridad son entre otros: backup, cifrado, sistemas de detección de intrusos, firewalls, antivirus sin considerar como parte del proceso la gestión, la estrategia y el personal.

En este último punto es muy importante realizar una buena labor formativa con el fin de concienciar al personal involucrado. La información con la que se trabaja diariamente debe estar clasificada como parte del proceso en la implementación de políticas de seguridad.

Por otro lado, existe un marco normativo en el que apoyarse a la hora de implementar un SGSI, bajo la denominación de ISO/IEC 27000. La decisión de una empresa que se plantea poner en marcha un SGSI, debe estudiar qué y cuántos procesos quiere implementar, ya que puede ser desde la gestión del proceso más crítico hasta la certificación de la norma ISO 27001 de todos sus procesos. Entre toda la normativa existente debe destacarse un código de buenas prácticas (ISO 27002), donde se presenta un catálogo de controles de seguridad organizados por áreas funcionales.

Hoy en día, asegurar los procesos de negocio ayuda entre muchas otras cosas a mantener la competitividad, gestionar adecuadamente los recursos internos, mantener clientes y cuota de mercado, conseguir una imagen de empresa, gestionar y mantener el conocimiento, evitar litigios civiles y laborales, gestionar efectivamente las operaciones de las empresas, en otras palabras, eficiencia en los procesos de negocio. Por lo que implementar un SGSI ayudará, sin dudas, a cumplir estos objetivos y anticipar incidencias, reduciendo significativamente costes para las organizaciones.
Visto 100516 veces Modificado por última vez en Sábado, 21 Febrero 2015 17:03