Tipos de Seguridad de la información en las organizaciones
La Seguridad de la Información consiste en asegurar que los recursos del Sistema
de Información de una empresa se utilicen de la forma que ha sido decidido y el acceso de información se encuentra contenida, así como controlar que la modificación solo sea posible por parte de las personas autorizadas para tal fin y por supuesto, siempre dentro de los límites de la autorización. Existen diferentes tipos de Seguridad de información dentro de las organizaciones algunos de ellos son: 1.- Cifrado y medidas de protección de datos Para proteger la información sensible de una organización, hay que utilizar mecanismos que no estén apuntados a evitar el robo, sino a proteger la información por si esta es robada Hoy el cifrado es una herramienta fundamental para proteger la información, interna y externamente. Además, se debe proteger las llaves que permitan descifrar la información, ya que cualquier persona o sistema que acceda a las llaves, estaría en condiciones de ver la información. La asignación de derechos de uso y perfiles para el acceso a la información es otra política recomendada para garantizar que solo accedan a determinada información las personas autorizadas a hacerlo, y que se pueda determinar a través de la trazabilidad quién y cuando accedió a la información 2.- Sistema de gestión de seguridad de la información Este sistema incluye diferentes temas como políticas de seguridad en sistemas informáticos, el aseguramiento de los recursos empresariales o la planificación de la seguridad, y se compone de tres procesos diferenciados: la planificación, la implementación y la verificación y actualización. Planificación: Este proceso dentro del diseño de la arquitectura del sistema de gestión de seguridad de la información, ayuda a establecer las políticas y soluciones para lograr los objetivos empresariales relacionados con la seguridad y el mantenimiento informático. El primer paso hacia una buena planificación es determinar cuáles son los requerimientos de la seguridad. Estos se establecen a través de la realización de servicios de seguridad, se analizan los riesgos informáticos y se calculan los posibles impactos de los mismos, la probabilidad de que ocurran y los recursos a proteger. Implementación: Con este proceso nos aseguramos que el personal de la empresa tenga el conocimiento y las habilidades mediante cursos de formación. Estos programas de formación deben incluir aspectos como que el personal debe conocer la importancia del sistema de seguridad mediante la realización de un curso específico, éste por su parte, debe asegurar la divulgación del conocimiento y su comprensión, así como capacitar a los usuarios de las herramientas necesarias para solucionar las incidencias e implementar las soluciones adecuadas. El personal, además, tiene que ser consciente de los roles a cumplir dentro del sistema de gestión de seguridad de la información y tiene que entender los procesos y requerimientos para detectar y solucionar los incidentes de seguridad. Verificación y actualización: incluye la comprobación del rendimiento y la eficacia del sistema de gestión de seguridad de la información, verificando de manera periódica los riesgos residuales, es decir, los clientes deben realizar auditorías internas y externas para lograr el objetivo empresarial. Por su parte, el proceso de actualización comporta realizar los cambios necesarios para asegurar al máximo el perfecto rendimiento del sistema de gestión. Ambos procesos se suelen realizar de forma paralela e integran los trabajos de mantenimiento informático del sistema. 3.- Protección de la información en el servidor de la empresa Instalar un servidor (para más de 5 PC) permite disminuir el riesgo de pérdida de archivos. El servidor cuenta con un lector de banda magnética que se encarga de copiar y proteger información todos los días. Las copias de seguridad son automáticas y están encriptados. Usted puede proporcionar a sus colaboradores las claves de acceso a los archivos almacenados en el servidor. El costo demuestra la fiabilidad del equipo o material. Una de las desventajas de la protección de la información en el servidor de la empresa es que la protección o copia de la información no siempre se realiza en tiempo real (riesgo de pérdida de información). Es posible que se requieran ciertas competencias técnicas para poder restaurar la información. 4.- Protección de la información en la PC y en discos externos Si su empresa cuenta con pocos ordenadores, entonces usted puede programar una copia de seguridad directamente en su PC (véase el artículo: Windows XP: puntos de restauración ). Al mismo tiempo, usted también deberá guardar la información en un soporte removible (DVD, USB, disco duro externo). Ventajas: usted podrá trasladar fácilmente la información protegida. Desventaja: el punto de restauración no garantiza la protección de su información personal. Además, copiar la información en un soporte removible toma tiempo. 5.- Protección en línea Se trata de la creación de una copia de seguridad en internet. Su ordenador/red deberá estar conectado a un servidor lejano que copie la información en tiempo real o un poco después. La copia de seguridad es creada casi de forma sincrónica al archivo (en caso de una fallo o problema, la pérdida de información es mínima). La administración de los datos en línea (clasificación, recuperación) es relativamente simple (códigos de acceso conocidos por los administradores escogidos). Además, este tipo de protección permite almacenar un gran volumen de información (1000 Gb o más). Pero a su vez también cuenta con desventajas como el tiempo empleado para la recuperación de la información puede ser muy largo (todo depende de su conexión y del volumen de información). La protección y la recuperación de la información son imposibles si la conexión de internet es interrumpida. La tarifa de este servicio de protección en línea puede ser muy elevada.