Escrito por Oscar Andres Schmitz Lunes, 15 de Diciembre de 2008 22:00
Blog - Seguridad | Informática
Hablar de seguridad de la información y no de seguridad informática, para no limitarla sólo a conceptos relacionados con la informática.
En esta columna responde algunos temas claves, y plantea que una política de seguridad adecuada hace a una “buena práctica empresarial”.
¿Porqué seguridad de la información y no seguridad informática?
Una organización básicamente esta compuesta de activos importantes que le permiten realizar sus actividades, generar rentabilidad y darle continuidad a sus negocios.
Particularmente la información es un activo que tiene un valor fundamental para la organización y debe ser protegida de un modo adecuado.
Llamamos seguridad de la información y no seguridad informática, a fin de globalizar el concepto de información, su uso y protección en todas las actividades de una empresa, y que no sea limitada solamente a conceptos relacionados con la informática, teleinformática o automática.
La seguridad de la información protege a la información respecto a una amplia gama de amenazas a fin de asegurarle a la organización que los riesgos, los daños y el impacto sean mínimos, además de asegurar que la rentabilidad o relación costo/beneficio sean los mejores.
La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo, contratos, planificaciones, reportes internos), puede almacenarse electrónicamente (servidores, PC’s, memorias, pendrives), magnéticamente (discos rígidos, tarjetas de acceso, disquetes) u ópticamente (CD, DVD), enviarse por correo electrónico, visualizarse en películas o videos, y comunicarse oralmente en una conversación de persona a persona.
Sin importar la forma que posea la información SIEMPRE debe protegerse adecuadamente.
La seguridad de la información debe conformase de controles, políticas, procedimientos, concientización y entrenamientos que aseguren que todo el mundo (incluído usted) tomen las precauciones necesarias para preservar:
- Confidencialidad: asegurando que solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
- Integridad: asegurando que la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento.
- Disponibilidad: asegurando que la información estará disponible siempre que usted o cualquier otra persona autorizada necesite hacer uso de ella.
Si alguien roba un activo de información (laptop, informe, disquete, etc.), una persona no autorizada podría leer y difundir la información contenida. Desde esta situación podemos aseverar, en principio, que esta en peligro la confidencialidad de la información. Ahora si la persona no autorizada, corrompe, modifica o borra la información contenida, impactaría directamente en problemas de integridad. Finalmente, si la información contenida no fue copiada en otro soporte a modo de resguardo (backup), podrían sucederse problemas de disponibilidad, dado que ninguna persona accedería a esta información.
¿Cuál es la importancia de la seguridad de la información?
Casos prácticos:
1. Presté mi clave y mi tarjeta de acceso a un compañero de trabajo, y este encontró información confidencial sobre planes estratégicos de la empresa, sin saberlo, lo divulgó entre sus amigos, uno de ellos es empleado de la competencia, y utilizó esta información mostrándosela a sus jefes que se apoderaron del plan y salieron primero en el mercado. Nuestra empresa perdió millones de pesos.
2. Baje unas fotos y otros archivos de Internet, sin tomar la precaución de pasarles un antivirus. Al parecer estos archivos tenían un virus “gusano” que deterioró la red dejándola inactiva por mas de una semana.
3. Un empleado de limpieza, durante la noche, descubrió papeles con información confidencial en los cestos de los directivos de la empresa. Estos papeles contenían información de los clientes actuales, y los próximos pasos a seguir con relación a un nuevo producto. Dicha información fue “vendida” a una empresa competidora.
Un plan de acción que fortalezca la seguridad de la información impide que la información:
- vaya a parar a las manos equivocadas
- se pierda irremisiblemente
- se utilice con fines no autorizados
La confidencialidad, integridad y disponibilidad de la información puede resultar esencial para mantener la competitividad, flujos de caja, rentabilidad, cumplimiento jurídico e imagen comercial de la organización.
Las organizaciones y sus redes de información (informáticas o no) deben afrontar cada vez en mayor medida las amenazas en lo que a seguridad se refiere: fraudes por computadora, virus, delitos informáticos, robo de información interna, hackers, crackers, sabotaje, espionaje, vandalismo, etc. Estas amenazas van avanzando día a día con el avance de la tecnología, y se vuelven más sofisticadas de detener.
Las vinculaciones de redes internas de la organización con otras redes externas (Extranet, Internet, Redes públicas), dificultan el proceso de control de accesos, obligando a que sean más rigurosos en relación a las personas y los activos que ellas utilizan.
La seguridad de la información es un proceso que evoluciona con toda la organización, si bien esta coordinada y centralizada en el departamento de seguridad (IRM – Information Risk Management), involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma (cadena de valor completa). Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos, debemos complementarlos con un detallado análisis de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado.
¿Qué relación tiene esto conmigo?
La seguridad de la información es asunto SUYO.
Usted es directamente responsable de su manera de tratar las cuestiones de seguridad.
Tratar la seguridad de la información de manera correcta, de acuerdo con las normas y principios, es una buena práctica empresarial. De esta forma se muestra a los clientes, accionistas y proveedores que pueden confiar en la empresa, puesto que sus empleados actúan con integridad y profesionalidad.
La seguridad de la información es, con frecuencia, tan solo una cuestión de disciplina y algo que deberíamos recordarnos los unos a los otros.
Bibliografía: Estándar ISO 17799:2000 y BS 7799-2:2000
| < Prev | Próximo > |
|---|
Próximas Jornadas
 |
 |
 |
 |
 |
Revista Impresa #16
Kiosco Digital
 |
Ingreso de usuarios
Registrados
Esta semana: 1 registrados
Este mes: 13 registrados
Visitas
 | Hoy | 4507 |
 | Ayer | 8356 |
 | Esta semana | 4507 |
 | Ultima semana | 45779 |
 | Este mes | 145924 |
 | Ultimo mes | 238584 |
 | Todos los días | 8377473 |
Hoy: May 21, 2012
Comentarios
Se lo pueden descargar gratuitamente y testearlo utilizando este link: www.sentrigo.com/.../
Es muy fácil monitorear lo que pasa en nuestra base de datos y dormir tranquilos.
Saludos!!
Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc.
Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.
Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información:
.Esta almacenada y procesada en com[censurado]doras
.Puede ser confidencial para algunas personas o a escala institucional
.Puede ser mal utilizada o divulgada
.Puede estar sujeta a robos, sabotaje o fraudes
Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y lo s últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo. Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el centro de cóm[censurado] puede ser el activo más valioso y al mismo tiempo el más vulnerable.
Hablar de seguridad de la información implica un aspecto fundamental a tener en cuenta en cualquier organización vigente. Sin duda en los tiempos que corren la información (y el conocimiento) es de total relevancia y el manejo inadecuado de la misma puede traer aparejado innumerables problemas que lamentar. Es preciso saber que siempre puede haber personas interesadas en obtener rédito a partir de nuestros activos, se trata de una amenaza latente, o dicho de otra manera un riesgo que se puede combatir pero no eliminar, puesto que cada día las barreras que podamos implementar en procura de asegurar nuestro trabajo, pueden resultar vulneradas o franqueadas por alguien no deseado. Es lógico que dicha tarea no se pueda lograr de la mejor manera si para ello no se toman la mayor cantidad de recaudos posibles, que tendrán como primera medida, y premisa fundamental, el actuar con responsabilidad. Es decir, hacer hincapié en el compromiso que requiere nuestra labor y tener como horizonte el éxito que pretendemos lograr. Imagino la clave, como primera medida, en el proceso de selección de personal, que de ello resulte la elección de una persona capaz, profesional y tenga un perfil adecuado a la tarea que se le ha de encomendar, además, el fortalecimiento en el desarrollo de programas de concientización de usuarios, dado que una medida de seguridad puede parecer infalible pero que llevada a cabo por quienes no asumen la debida seriedad en su desempeño, quizás no redunde en el beneficio que se espera de ella. Pienso que todos cometemos errores, lo difícil es tener que lamentarlos. Disminuyamos nuestras debilidades y las posibilidades de ser vulnerados, de nosotros depende. MARCOS MONSALVE
mark-o-s
Teniendo en cuenta la frase hoy en boga de: "la información es poder" es claro que el mundo de hoy es regido por la aplicación de la información y el debido cuidado de la misma.
Debemos pensar que la información debe ser cuidada no sólamente desde la seguridad informática sino también desde la seguridad física.
Debemos procura que la información no se nos filtre , o que no nos la roben.
Desde la seguridad informática:
Debemos elabora políticas claras para nuestros empleados o nuestro equipo en torno a el uso del correo electrónico : que abrir o que no abrir ; que bajar y que no bajar; que enviar o que no enviar.
Debemos diseñar políticas calaras de uso de internet, uso de firewall por medio de nuestra empresa para proteger la información tanto de nuestros clientes como de la empresa.
Crear niveles de accesibilidad si se está trabajando en un sistema de pc en red , para que pueda acceder a un archivo o carpeta la persona con el nivel suficiente de accesibilidad.
Debemos crear encriptaciones para archivos desde los que están en nuestra pc hasta los de nuestras laptops , cd, dvd o pendrives.
Debemos ser sumamente cuidadosos con nuestra base de datos de clientes , no compartir info para nada. Así como del personal de nuestro equipo o empresa.
Desde la seguridad física:
Debemos tener cuidado con lo que se tira a la basura, no podemos perder odar información tirandola a la basura indiscriminadamente.
Debemos tener cuidado con nuestra tarjeta de identificación personal, no perderla y si nos la roban o la perdemos avisar inmediatamente.
Debemos tener cuidado con la información que demos por vía telefónica , y a quien se la damos. Nunca hablar de más.
Debemos tener cuidado con perder activos de información(como laptops , cd , dvd o pendrive) ya que son facilmente olvidables por su tamaño en el trajin del día laboral.
No debemos descuidar los documentos escritos , ya que alguien puede llevarselos o acceder a ellos sin permiso. No deben estar a la vista y alcance de los demás.
Por lo tanto debemos sumar las políticas de seguridad física y las de seg. informática para proteger los activos de información que posemos y que estos no caigan en manos de la competencia o de nuestros enemigos y los usen en contra nuestra.
Agustín Massa.
En la actualidad, es imposible negar o no tener en cuenta la importancia de la "información", por lo que nuestro proyecto debe desarrollarse, atendiendo al "control de los activos de la información".
Los motivos son varios: * En cuanto a las amenazas del entorno, sabemos sobre el aumento de la piratería en diferentes modalidades y una de las formas de reducir dicho riesgo es aplicado estas técnicas.
* Resguardar todo el trabajo logrado gracias al aporte de los integrantes del equipo y, cuando digo aporte me refiero al tiempo, dedicación, compromiso, entre otros aspectos que cada uno realizó.
* En cuanto al equipo del cual formo parte, si bien todos hemos realizado nuestro aporte para cumplir con los objetivos propuestos, procurar la protección de nuestros "activos" en el equipo, en cierto modo nos brindará el nivel de confianza que -en lo personal- puedo tener con el resto del equipo, es decir que si a pesar de haber aplicando las medidas o técnicas correspondientes para ello, alguna información importante sale de nuestro ámbito, es porque evidentemente el nivel de confianza no es el óptimo, que alguien no cumplió con su tarea o no la hizo en forma adecuada .
* El control de los "activos", posibilitará que un proyecto innovador, no pierda su condición de tal, por haberse filtrado de una u otra manera, información importante del equipo.
* El control de activos, nos da la posibilidad de categorizar los activos de la información, según su importancia.
En síntesis considero que la seguridad de la información es asunto de todos y para ser aplicada a todos los aspectos de nuestra vida; no solo redundará en un buen desempeño personal y del equipo para el logro de los objetivos (en el caso del proyecto que estamos desarrollando en la cátedra); sino que puede ser aplicada en todas nuestras actividades diarias; ésta practica de suma importancia para mi actividad laboral por el área en la cual me desempeño.
La Seguridad de la Información es importante para la actividad de las empresas en general. La Seguridad tiene que abarcar en su totalidad las amenazas, a fin de asegurar la organización para que los riesgos, los daños y los impáctos sean mínimos.
La información puede estar escrita o almacenarse eléctricamente en PC, Memoria Etc., o también magnéticamente en discos rígidos u otros dispositivos, así también por otro lado puede ser trasmitida oralmente de persona a persona. Pero tenemos que tener muy en cuenta la vulnerabilidad de la información, es por eso que hay que protegerla adecuadamente. Todos sabemos que el riesgo siempre esta latente por que no se lo puede eliminar.
La Seguridad Informática es un tema de concientización y se logra por medio de entrenamientos continuos de personas, en ella sostiene que hacer un hábito las precauciones. La Seguridad Informática debe tener 3 puntos clave: Confidencialidad, Integridad y Disponibilidad. Lo importante es que la persona debe estar bien informada; esta información a veces cae en manos de personas no autorizadas y podría difundir algo importante o cambiar el contenido.
Lo importante es resguardar claves cambiar constantemente la misma, no dejar ningún programa abierto cuando contengan trabajos confidenciales, no dejar mail a disponibilidad de otros, no arrojar papeles al cesto de basura que contenga información importante.
El resguardo de la información impide que valla a parar a manos equivocadas, se pierda esta información o se utilice para malos fines.
Partiendo de las precauciones fundamentales como la confiabilidad, Integridad y disponibilidad vamos a reforzar y preservar la seguridad de la Información.
Para aquellos que desarrollan gran parte de su trabajo cotidiano utilizando como herrramienta fundamental una PC, ha desplegago una gama de ventajas importantes en lo que hace al uso de la información : su obtención , clasificación ,su proceso y su archivo.
Esta variedad sustentada en la aplicación tanto comercial como para otros fines representa un arma idónea a la hora de salir a competir en cualquier campo.
Pero para algunos que no han sabido interpretar su verdadero valor y no han tomando los recaudos para que ésta información se mantenga a resguardo, se convirtió en una "pesadilla". El cuidado de la información , su tratamiento , y la seguridad de la misma depende de nosotros mismos , hoy saber quien puede estar autorizado a manipularla como ingresar a archivos confidenciales tiene una importancia escencial para no sufrir el "tormento" de la pérdida o robo de aquello que nos ha costado , tanto individual como grupalmente horas de desarrollo .
Tomar conciencia que todo lo que rodea nuestro escritorio y nuestro hábitat de trabajo es una fuente generadora de información permanente, nos posibilitará quedarnos con la llave de la puerta que muchos "intrusos" quieren traspasar para quedarse con lo que genuinamente es nuestro.
Por otra parte me ha tocado vivir la experiencia de una notebook que se "pierde" en una empresa de primerisima línea y que perteneciendo a uno de sus ejecutivos de mayor rango,pone en riesgo toda la operatoria de la firma porque "increiblemente" no había disponibles copias de seguridad de la crucial información que contenía.
Suscripción de noticias RSS para comentarios de esta entrada.