4.3 POLÍTICAS DE SEGURIDAD

¿QUÉ SON LA POLÍTICAS DE SEGURIDAD?

Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas.

CARACTERÍSTICAS FUNDAMENTALES QUE DEBE RESPETAR UNA POLÍTICA DE SEGURIDAD

▶ DISPONIBILIDAD Es necesario garantizar que los recursos del sistema se encuentren disponibles cuando el usuario necesite de ellos.

▶ UTILIDAD

Los recursos del sistema y la información manejada en el mismo ha de ser util para alguna función.

▶ INTEGRIDAD

La información del sistema ha de estar disponible tal y como se almaceno por una persona autorizada

▶ AUTENTICIDAD

El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.

▶ CONFIDENCIALIDAD

La información solo ha de estar disponible para agentes autorizados, especialmente su propietario.

▶ POSESIÓN

Los propietarios de un sistema han de ser capaces de controlarlo en todo momento, perder este bien a favor de un usuario no autorizado compromete la seguridad del sistema hacia el resto de usuarios.

INDENTIFICACIÓN DE AMENAZAS

Una vez hemos hecho un inventario de todo aquello que es necesario proteger tenemos que analizar las vulnerabilidades y las amenazas. Una vulnerabilidad puede ser un fallo en algun peldaño de nuestro sistema que desemboca en un agujero importante de seguridad en el sistemas. La amenaza seria aquel evento que pondría en jaque a nuestro sistema de seguridad pudiéndolo burlar y causar por lo tanto perdidas y destrozos.

MEDIDAS DE PROTECCIÓN

Tras identificar todos los recursos que deseamos proteger, así como las posibles vulnerabilidades y amenazas a que nos exponemos y los potenciales atacantes que pueden intentar violar nuestra seguridad, hemos de estudiar como proteger nuestros sistemas, sin ofrecer aun implementaciones concretas para protegerlos. Esto implica en primer lugar cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades de que una amenaza se pueda convertir en realidad.

A continuación te presentamos una lista de las mejores prácticas de seguridad informática que toda empresa debe seguir:

▶ Sensibilización y capacitación de empleados.

Estas prácticas incluyen abrir correos electrónicos con programas malintencionados, uso de WiFi libre que puede comprometer la transferencia de información e incluso la pérdida de dispositivos de almacenamiento, teléfonos inteligentes o tabletas que contienen información relevante o claves de acceso de la empresa.

▶ Realizar copias de seguridad fiables de toda la información relevante.

La información de las empresas no sólo puede estar amenazada por robos o malware, también por sucesos como inundaciones o incendios, en cualquiera de los casos es recomendable tener respaldo y un plan de recuperación.

▶ Contar con un servidor propio.

Es recomendable si en la empresa se usan más de cinco computadoras, ya que disminuye el riesgo de pérdida de archivos.

▶ Instalación de antivirus y antispam.

Estos sirven para evitar malware que puede borrar o dañar archivos, phishing o robo de claves de acceso, entre otros. Se recomienda su instalación en todos los equipos que contengan o envíen información.

▶ Cifrar información.

Es bastante común que los teléfonos inteligentes o tabletas se pierdan o sean robados y, para que no se tenga acceso a la información que contienen, es importante que ésta se encuentre cifrada.

▶ Establecer contraseñas robustas y cambiarlas periódicamente.

Las claves de acceso a equipos, correos electrónicos o archivos deben ser contraseñas robustas, esto es, que sean difíciles de descifrar.

▶ Análisis de riesgo y creación de plan de contingencia.

Antes de que suceda cualquier emergencia, lo más recomendable es realizar un análisis de riesgo y vulnerabilidad, conocer las fortalezas y debilidades de los equipos, la red interna, los servidores, las conexiones a Internet, etc.

▶ Proteger la información de un negocio significa proteger el funcionamiento de éste.

Su protección también permite evitar o reducir pérdidas financieras que pueden tomar años en recuperar, o el daño puede ser tan grave que este cause su total desaparición.

VIDEO EXPLICATIVO