domingo, 4 de marzo de 2012

Seguridad informática: el ciclo interminable


En las empresas hoy en día, es común  el uso de herramientas informáticas para el desarrollo de las diferentes actividades que se realizan, mejorando con estas la productividad y la eficiencia de todos nuestros procesos y resultados. 
Pero como el avance siempre trae consigo nuevos retos y cuidados, la masificación informática que hemos tenido en los últimos años, nos ha vuelto cada vez más vulnerables a que nuestra información sensible y confidencial se vea expuesta.  Si a esto sumamos la omnipresencia de la Internet en el mundo empresarial, que ha hecho de las respuestas inmediatas el estándar, vemos que las posibilidades de vulnerabilidad son muy altas.
Las grandes empresas normalmente cuentan con departamentos especializados en seguridad para las Tecnologías de la Información, o TI, que están constantemente monitoreando y corrigiendo las posibles vulnerabilidades de los sistemas.  Pero en las Pymes, donde el costo de un departamento de estas características es impensable, se debe generar en los usuarios una mayor conciencia en la aplicación de las buenas prácticas, para reducir al mínimo las posibilidades de una intrusión en nuestros sistemas.
Es por esto que debe tener en cuenta las siguientes sugerencias:
  • Actualizar regularmente su sistema operativo y el software instalado en su equipo, poniendo especial atención a las actualizaciones del navegador web que use. A veces, los sistemas operativos presentan fallas, que pueden ser aprovechados por usuarios no autorizados. Es por esto que cada cierto tiempo aparecen actualizaciones que solucionan dichas fallas. Estar al día con las actualizaciones, así como aplicar los parches de seguridad recomendados por los fabricantes, le ayudará a prevenir la posible intrusión de crackers y/o la aparición de virus que afecten el correcto funcionamiento de su equipo.
  • Instalar un Antivirus, el cual debe actualizar con frecuencia. Analice con su antivirus todos los dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet, los archivos que sean recibidos a través de correo electrónico, y, sobretodo, los archivos guardados en dispositivos extraíbles y que son usados en máquinas que no pertenecen a la empresa.
  • Instalar un Firewall o Cortafuegos, con el fin de restringir accesos no autorizados a la Internet.  En lo posible restrinja el acceso solamente a las páginas necesarias para el normal desempeño en la labor de los usuarios.
  • Es muy recomendable que los equipos cuenten con algún software anti-spyware, para evitar que estos puedan ser infectados con programas espías destinados a recopilar información confidencial del usuario.
Como pueden ver, la mayoría de vulnerabilidades en los sistemas pueden ser subsanados por el usuario común si es que se genera una rutina para la gestión de seguridad.
La gestión de la seguridad es el componente clave y primario para un plan exitoso de protección de la información en cualquier empresa.  Sin gestión de seguridad, no hay medidas que generen una protección eficiente de nuestra información, o que se puedan evaluar los diferentes riesgos a los que podría estar expuesto esta.

Para que esta gestión sea realizada de forma exitosa, debe verse a la seguridad como un proceso dinámico, debiéndose trabajar en cuatro etapas bien definidas:
  1. 1.    Observar, haciendo un análisis objetivo de la situación.
  2. 2.    Planear, definiendo un adecuado plan que establezca buenos controles de seguridad.
  3. 3.    Ejecutar, implementar las medidas correctivas necesarias.
  4. 4.    Monitorear, evaluando los resultados y las posibles mejoras al plan establecido.

Una vez establecido este proceso, implemente  una política de seguridad, la cual debe ser un componente principal dentro de las buenas prácticas de la empresa, tomando como premisa para  la creación de  esta política, como una declaración de intenciones de alto nivel, que cubre la seguridad de los sistemas informáticos, y que proporciona las bases para definir y delimitar responsabilidades para las diversas actuaciones técnicas y organizativas que se requerirán.
Posteriormente, este proceso de gestión debe incluir el sub-proceso de clasificación de la información, mediante el cual se identifica la “sensibilidad” de la información por medio de categorías; para después llegar a la definición de acuerdos y contratos, destinados a reglamentar y definir las condiciones relacionadas a la seguridad; dentro de los cuales debe haber una implementación de un plan de educación y de concientización de los usuarios, destinado a mejorar los conocimientos sobre seguridad informática en todos los integrantes de la empresa, para disminuir los riesgos de exposición a las diversas amenazas.

Todos estos elementos serán utilizados eficientemente si los usuarios ven la seguridad informática como un ciclo. Para tal fin, es indispensable la colaboración de todas las áreas,  principalmente de la alta gerencia, como responsable final del plan de seguridad.
Recuerde que la implementación de tecnologías para la seguridad informática (llámese firewall, antivirus, detectores de intrusos, controles de acceso,etc.) no garantizan la protección de sus sistemas si es que se omiten los aspectos humanos y de gestión que son indispensables para que un proceso de seguridad sea exitoso.