Seguridad de la Información y Seguridad Informática

Hay un concepto que podríamos decir que, por lo general se encuentra firmemente internalizado al momento de considerar el tema de la seguridad informática, y es que esta refiere preponderántemente a los aspectos tecnológicos de la misma, es decir al software y hardware involucrados.

AUTOR:
Dr. Andrés San Juan – Director
.

Sin embargo esta concepción implica una riesgosa observación parcial del problema de la seguridad, pues si se tienen en cuenta las estadísticas, veremos que una amplia mayoría de los ataques sufridos por los sistemas informáticos proviene desde el interior de los mismos, o al menos determinado accionar interno ha permitido el ataque. Tales estadísticas señalan como responsable al personal empleado por las empresas que sufren los ataques.

Entonces la seguridad de la información debe, bajo la fuerza de los hechos, incluir dentro de su área de incumbencia la regulación de las actividades de las personas que administran, mantienen, utilizan, o acceden de alguna u otra forma a los recursos informáticos de la empresa, sean estas personas dependientes, contratados, o proveedores de ciertos servicios.

Comprender esto, es comprender en forma cabal el problema de la seguridad de la información, pues el factor humano se halla omnipresente en todos los niveles de la misma. No puede un análisis de seguridad restringirse únicamente a la indicación de los aspectos vulnerables de la red, o el software empleado, bajo un test de penetración.

Pocos son los proveedores de seguridad informática que han comprendido que el software, aun cuando despliegue funciones de seguridad muy especializadas (antivirus, firewalls, IDSs entre otros), por si solo no constituye la solución definitiva a los problemas de la

seguridad de la información, y en consecuencia no ponen en conocimiento de sus potenciales clientes los restantes aspectos que debieran ser tenidos en cuenta a la hora de evaluar una solución de seguridad.

El establecimiento de las Políticas de Seguridad de la Información.

Percibir que la seguridad de la información no es estrictamente seguridad informática, es el primer paso hacia un planteo adecuado del asunto.
El sigu

iente paso tendrá que ver con como regular las actividades de las personas que tienen acceso a los sistemas informáticos, puesto que no es para nada recomendable un actuar expo facto por parte de la empresa, que se asemeje a una cacería de brujas en busca del responsable (esto solo aumentará las perdidas). Ya tiene dicho nuestra Justicia Laboral que, cuando las reglas sobre el uso de los recursos informáticos no han sido claramente explicitadas por el empleador, mal puede invocarse como causa de despido el uso “inapropiado? de las mismas por parte del trabajador.

Es necesario entonces que, las empresas establezcan y comuniquen a toda persona que tenga acceso a los sistemas informáticos, las Políticas de Seguridad de la Información, incluyendo en ellas temas como: niveles de acceso a la red; cuando es posible conectarse a Internet, y con que fines; uso apropiado del correo corporativo; uso de mensajeros, compra de hardware y software; contratación de proveedores de servicios; procedimientos de encriptado de comunicaciones; administración de passwords; cuales son los recursos de la red de uso permitido; procedimiento para realizar el mantenimiento de los sistemas, etc., etc., etc.

De esta forma la empresa podrá ejercer un mayor y más eficaz control sobre la utilización de los recursos informáticos, pudiendo prevenir actividades que realizadas de buena o mala fe por el personal, pongan en riesgo la seguridad de los sistemas.

Estas Políticas de Seguridad de la Información deben incorporarse en un reglamento en términos de derechos, obligaciones, prohibiciones, y sanciones, de manera que tengan fuerza obligatoria y consecuencias reales.

Síntesis

Las personas son necesarias e irremplazables para el funcionamiento de los sistemas informáticos, deben ser concebidas como parte integrante de estos, y por tanto han de concebirse auténticas normas de seguridad que tengan en cuenta su actuar. La empresa debe poder conocer y controlar el uso de los recursos informático por parte de su personal, la sola previsión de los aspectos tecnológicos de la seguridad no basta.

Share