La seguridad de la informacion

Cuando a alguien se le pregunta sobre el tema de la seguridad de la informacion en su empresa, es mas que seguro que lo primero que se la a venir a la cabeza es el sacar una copia de respaldo (backup). Si bien es cierto que un backup (pero uno actualizado constantemente ciertamente) nos puede cubrir ante una perdida de una archivo, un disco duro dañado u otro imprevisto; es solo parte de uno de los tres pilares que soportan a la seguridad de la informacion (SI), el de la Disponibilidad. Los otros dos pilares son la Integridad y la Confidencialidad.

El pilar de la Disponibilidad, se preocupa de que los usuarios tengan la informacion necesaria, en el momento adecuado. Para esto se debe implementar planes de contingencia ante diferentes eventualidades. Dichos planes pueden cubrir desde administracion de backups, hasta sofisticados modelos de replica en linea (clusters) de base de datos, centros de computo alternos, etc.

Se debe encontrar un equilibrio, entre el presupuesto de la empresa, la ventana (lapso) de tiempo que estaran dispuestos a esperar por una vuelta a la operatividad de los sistemas dañados. Esto ultimos depende de la naturaleza de cada organizacion. No es lo mismo elaborar un plan de contingencias para una oficina que labora solo un turno en el dia , de lunes a viernes, que cierra los feriados; que para un hotel que esta abierto al publico las 24 horas del dia, todos los dias del año.

El pilar de la Integridad se refiere a que la informacion debe ser la correcta. Que 1 + 1 sea 2 y no 3 ni 1. Esto tiene que ver con la calidad de los sistemas, por decir que los datos de las facturas que ya se declararon para el pago de impuestos, no puedan ser modificados ni manipulados

El pilar de la Confidencialidad asegura que no haya problemas de robo de informacion, espionaje industrial, accesos no autorizados a sistemas y directorios, etc. Temas como el uso de los USB, o el libre acceso a Internet de los trabajadores es un dolor de cabeza para los oficiales de la seguridad de la informacion, por representar puertas abiertas para posibles filtraciones de informacion reservada.

La seguridad de la informacion esta reglamentada por diversas normas tales como la ISO 17799, la ISO/IEC 27001,27002 y la BS 7799, las cuales nos sirven de guia para la implementacion de un sistema de administracion de la seguridad de la informacion en las empresas.

En un proyecto de seguridad de la informacion, se parte de un levantamiento de los activos de la informacion (hardware, software, documentos, intagibles como marcas, know how, etc) , y se les va calificando desde prescindibles hasta imprescindibles. Se pasa por analisis de riesgos, definicion de politicas de seguridad de la informacion, plan de continuidad del negocios, ataques simulados (Hacking etico), entre otros.

Como en todo proyecto, sera importante la participacion del personal funcional de toda la empresa y el apoyo decidido de la alta gerencia.

El ataque del 11 de setiembre al World Trade Center, replanteo el tema de la seguridad de la informacion. Muchas empresas perdieron a sus centros de computo por completo (Equipos y personal), los cuales se encontraban localizados en las torres gemelas. Esta perdida fue tan grande, que en varios casos obligaron a un cierre definitivo del negocio.

En resumen lo que se busca con la administracion de la seguridad de la informacion, es tener la informacion correcta, en el momento correcto y para la persona correcta. La normas mencionadas nos dan las pautas a seguir para lograr tener una organizacion preparada ante los inevitables incidentes que tarde o temprano tendremos que afrontar, desde una infeccion de un virus, un apagon, hasta ataques de hackers, empleados maliciosos, etc.