La seguridad informática abarca un campo muy amplio, ya que va desde la protección del ordenador de sobremesa del que disponemos, pasando por la información disponible y alcanzando las redes que lo comunican con el mundo exterior. De ahí que la definición de seguridad sea bastante compleja y dentro de un entorno auditoría informática continua. Si que tenemos que tener claro que la seguridad del entorno informático deben basarse en:
- La confidencialidad o privacidad, que debe impedir que personas no deseadas accedan al sistema, ni a la información disponible. Para eso es muy importante disponer de las herramientas oportunas para el control de accesos a los sistemas y que la información confidencial sea cifrada
- La integridad de la información a la que se tiene acceso, impidiendo que la información sea manipulada por personal ajeno. Debe ser incluido en este punto además, la posible modificación de la información por causas accidentales en el desarrollo de los procesos
- La disponibilidad de la información a cualquier usuario. La misma puede ser accesible e cualquier instante y el sistema debe ser capaz de recuperarse ante posibles fallos en el mismo.
Las políticas de seguridad informática han surgido como una herramienta en las empresas para concienciar a los usuarios sobre la importancia y la sensibilidad de la información y de los servicios de la empresa.
Una política de seguridad es la forma de comunicación con los usuarios, estableciendo un canal de actuación en relación a los recursos y los servicios informáticos de la empresa. Describe lo que se desea proteger y el porqué, mediante normas, reglamentos y protocolos a seguir, definiendo funciones y responsabilidades de los componentes de la organización y controlando el correcto funcionamiento.
Los directivos y los expertos en tecnologías de la información definen estos requisitos de seguridad, considerándola como parte de la operativa habitual y no como una acción adicional.
La creación de las políticas conlleva la creación de reglamentos de seguridad.
Las políticas de seguridad deben considerar:
- El alcance de las mismas, cubriendo todos los aspectos relacionados.
- Objetivos y descripción de los elementos involucrados, protegiendo todos los niveles: físico, humano, lógico y por supuesto logístico.
- Responsabilidades de los servicios y recursos informáticos implicados.
- Requerimientos mínimos de seguridad, incluyendo la estrategia a seguir en caso de fallo.
- Definición de violaciones y sanciones.
- Responsabilidades de los usuarios y sus accesos
No hay comentarios:
Publicar un comentario