Estrategia y buenas prácticas.

Existe el mismo riesgo de pérdida de datos, extravío, robo, etc. para un libro «clásico» en papel que no custodiamos debidamente, como el que se encuentra en un fichero de datos dentro de nuestro ordenador portátil. Nuestra empresa tiene información sensible como tarifas, márgenes de venta o datos personales de nuestros clientes, la cual debemos proteger frente a una serie de amenazas.

Tipos de amenaza:

Amenazas externas intencionadas: Espionaje, sabotaje, vandalismo, robo de información confidencial son algunas de las amenazas externas a las que nos enfrentamos. En algunas ocasiones los ataques serán mediante técnicas de ingeniería social o ataques de denegación de servicio.

Amenazas externas accidentales: En muchas ocasiones las amenazas son involuntarias o resultantes de desastres naturales, que pueden derivar en muchos casos en inundaciones o incendios.

Amenazas internas intencionada: Una de las amenazas que deben resolver nuestros departamentos de informática es el propio personal de la organización, como podría ser un empleado con acceso a los recursos de la organización que sabe que va a ser despedido.

Amenazas internas accidentales: Comprenden las malas prácticas por parte de un empleado, sin tener una mala intención, por ejemplo insertar un USB infectado en un ordenador corporativo.

Buenas prácticas:

Una vez conocidas las amenazas que pueden afectar a nuestros activos de información, debemos aplicar una serie de medidas de seguridad básicas. Además de la aplicación de las medidas organizativas y de cumplimiento legal, los departamentos de TI aplicarán medidas para:

La gestión de los activos.
La seguridad de las operaciones.
La gestión de incidentes y la recuperación ante desastres.
Control de accesos a sistemas y aplicaciones.

Gestión de los activos:

Estas medidas tienen por objetivo identificar los activos de la organización y definir las responsabilidades de protección sobre los mismos.

Esto incluye desde la realización de un inventario, hasta la definición de los usos aceptables. Igualmente la gestión de activos incluye la clasificación de la información y la gestión de soportes.

Seguridad en las operaciones

La seguridad de las operaciones abarca las actividades encaminadas a asegurar el correcto funcionamiento del equipamiento donde se realiza el tratamiento de la información, desde su instalación y puesta en marcha, pasando por su actualización y protección ante software malicioso y la realización de copias para evitar la pérdida de datos, hasta la monitorización y el registro de las incidencias.

Gestión de incidentes y recuperación ante desastres

Para estar preparados en caso de un incidente de seguridad o de resultar afectados por undesastre natural es necesario conocer cómo debemos gestionarlos. En ambos casos se hande establecer previamente las responsabilidades y los procedimientos de actuación como medida preventiva para saber cómo actuar en caso de que ocurran.

Control de acceso a sistemas y aplicaciones

Para prevenir el acceso no autorizado a los sistemas y aplicaciones se debe restringir el acceso a los mismos de acuerdo a una política definida por la organización. Esta política limitará el acceso a los recursos, evitando accesos no autorizados y garantizando el acceso de los usuarios
autorizados. Estas políticas abarcan el control del acceso físico y lógico.

El control del acceso físico evitará la pérdida, daño, robo o alteración de los activos y la interrupción de las operaciones. Algunas de estas medidas son la separación de áreas, los tornos de acceso, etc.

En cuanto al acceso lógico se han de implantar, cuando sean necesarios, procedimientos de acceso seguro de inicio de sesión (autenticación3), y sistemas interactivos para establecer y cambiar con frecuencia las contraseñas de forma que sean seguras y robustas.