La Informacion Como Activo Estrategico
Enviado por cooory • 26 de Noviembre de 2014 • 2.675 Palabras (11 Páginas) • 263 Visitas
LA INFORMACIÓN COMO ACTIVO ESTRATÉGICO:
SEGURIDAD Y PROTECCIÓN
1. INTRODUCCIÓN
La información es uno de los activos más importantes de las entidades, y de modo especial en algunos sectores de actividad.
Es indudable que cada día las entidades dependen en mayor medida de la información y de la tecnología, y que los sistemas de información están más soportados por la tecnología, frente a la realidad de hace pocas décadas.
Por otra parte, hace unos años la protección era más fácil, con arquitecturas centralizadas y terminales no inteligentes, pero hoy día los entornos son realmente complejos, con diversidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales.
Entre las plataformas físicas ("hardware") pueden estar: ordenadores grandes y medios, ordenadores departamentales y personales, solos o formando parte de redes, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más difícil proteger los datos, especialmente porque los equipos tienen filosofías y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.
Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información.
En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad:
La confidencialidad: se cumple cuando sólo las personas autorizadas (en un sentido amplio podríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente.
Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿cuál podría ser su uso final? ¿habría una cadena de cesiones o ventas incontroladas de esos datos, que podrían incluir datos como domicilios o perfil económico, o incluso datos médicos?
¿Y si alguien se hiciera con un "disquete" con lo que perciben los directivos de nuestra entidad?
La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoría.
Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (corruptas decimos a veces), lo que haría difícil la reconstrucción.
La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información.
El disponer de la información después del momento necesario puede equivaler a la no disponibilidad. Otro tema es disponer de la información a tiempo pero que ésta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.
Otro caso grave es la no disponibilidad absoluta, por haberse producido algún desastre. En ese caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según las estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.
En relación con ello deben existir soluciones alternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permita restablecer las operaciones en un tiempo inferior o igual al prefijado.
Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el impacto en sus áreas, y a un nivel corporativo, idealmente por parte de un comité, se habrán determinado las prioridades.
En la preparación -y actualización- del plan debemos pensar en situaciones posibles y en el impacto que tendrían en nuestra entidad (en su caso en las de nuestros clientes), especialmente si no disponemos de la información necesaria almacenada en lugares alternativos.
La seguridad tiene varios estratos:
El marco jurídico adecuado.
Medidas técnico-administrativas, como la existencia de políticas y procedimientos, o la creación de funciones, como administración de la seguridad o auditoría de sistemas de información interna.
Ambas funciones han de ser independientes y nunca una misma persona podrá realizar las dos ni existir dependencia jerárquica de una función respecto a otra.
En cuanto a la administración de seguridad pueden existir, además, coordinadores en las diferentes áreas funcionales y geográficas de cada entidad, especialmente si la dispersión o la complejidad organizativa o el volumen de la entidad así lo demandan.
En el caso de multinacionales o grupos de empresas nacionales no está de más que exista coordinación a niveles superiores.
En todo caso, debe existir una definición de funciones y separación suficiente de tareas; no tiene sentido que una misma persona autorice una transacción, la introduzca, y revise después los resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude o encubrir cualquier anomalía; por ello deben intervenir funciones / personas diferentes y existir controles suficientes.
La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el control físico de accesos, los vigilantes, las medidas contra el fuego y el agua, y otras similares.
La llamada seguridad lógica, como el control de accesos a la información exigiendo la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambiados entre entidades o de respaldo interno, o de información transmitida por línea. (Puede haber cifrado de la información por dispositivos físicos o a través de programas, y en casos más críticos como la red SWIFT existen los dos niveles).
La autenticación suele ser mediante contraseña, si bien sería más lógico, aunque los costes resultan aún altos para la mayoría de sistemas, que se pudiera combinar con características biométricas del usuario, para impedir la
...