Martha Marrufo

 

SEGURIDAD DE LOS SISTEMAS DE INFORMACION DESARROLLADOS EN LA WEB

 

Seguridad de la Información

En términos generales, la seguridad puede entenderse como aquellas reglas técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo, pérdida o daño, ya sea de manera personal, grupal o empresarial. En este sentido, es la información el elemento principal a proteger y resguardar dentro de la Web.

Hoy en día, la información es uno de los más importantes activos  para las empresas  y organizaciones, así como para cada individuo. Por este motivo la misma requiere ser asegurada y protegida en forma apropiada.

La Seguridad de la Información es el conjunto de metodologías, practicas y procedimientos que buscan proteger la información como un valioso activo, con el objeto de minimizar las amenazas y riesgos a los que esta es expuesta, con el fin de asegurar la permanencia del negocio, minimizar los daños a la organización y maximizar el retorno de inversiones y las oportunidades del negocio. Y en el caso de cada individuo de proteger la identidad y la privacidad, brindándole confianza al realizar sus transacciones de forma electrónica.

Para lograr el éxito en el resguardo de la información, se tiene como herramienta  la auditoria de los sistemas de la información, que tiene como objetivo  evaluar la eficiencia y eficacia del manejo de los datos para garantizar la seguridad de los mismos; así como, para identificar y posteriormente corregir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

 

Fundamentos

La seguridad de los sistemas de información, esta basado en los siguientes pilares fundamentales:

 

Integridad-Autenticación

                        La información no puede ser modificada por personas que no estén autorizadas.

                        La autenticación valida la integridad del flujo de información garantizando que no ha sido modificado en el tránsito emisor-receptor, y además confirma el origen/destino de la información, corrobora que los interlocutores son quienes dicen ser.

Confidencialidad

           La información solo esta disponible para las personas autorizadas.

           La información debe ser manipulada de tal forma que ningún atacante pueda leerla. Este servicio es generalmente prestado gracias a la codificación de la información mediante claves conocidas sólo por los interlocutores.

Disponibilidad

                        Cuando sea requerida la información  sea de fácil acceso.

Autorización

Se trata un mecanismo que permite que el usuario pueda acceder a servicios o realizar distintas actividades conforme a su identidad.

 

Importancia

La presencia de un número importante de amenazas y riesgos, a los que continuamente son expuestos los datos, la infraestructura de red y recursos informáticos de una organización deben estar protegidos bajo un esquema de seguridad que reduzca los niveles de vulnerabilidad y permita una eficiente administración del riesgo.

Para ello, resulta importante establecer políticas de seguridad, las cuales van desde el monitoreo de la infraestructura de red, los enlaces de telecomunicaciones, la realización del respaldo de datos y hasta el reconocimiento de las propias necesidades de seguridad, para establecer los niveles de protección de los recursos.

Las políticas deberán basarse en los siguientes pasos:

·        Identificar y seleccionar lo que se debe proteger (información sensible)

·        Establecer niveles de prioridad e importancia sobre esta información

·        Conocer las consecuencias que traería a la compañía, en lo que se refiere a costos y productividad, la pérdida de datos sensibles

·        Identificar las amenazas, así como los niveles de vulnerabilidad de la red

·        Realizar un análisis de costos en la prevención y recuperación de la información, en caso de sufrir un ataque y perderla

·        Implementar respuesta a incidentes y recuperación para disminuir el impacto

Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en soluciones tecnológicas, así como el desarrollo de un plan de acción para el manejo de incidentes y recuperación para disminuir el impacto, ya que previamente se habrá identificado y definido los sistemas y datos a proteger.

Es importante tomar en consideración, que las amenazas no disminuirán y las vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la importancia de la información en riesgo.

Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel de seguridad apropiado y la administración del riesgo implica una protección multidimensional (firewalls, autenticación,  antivirus, controles, políticas, procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente tecnología.

Un esquema de seguridad empresarial contempla la seguridad física y lógica de una compañía. La primera se refiere a la protección contra robo o daño al personal, equipo e instalaciones de la empresa; y la segunda está relacionada con la protección a la información, a través de una arquitectura de seguridad eficiente.

Esta última debe ser proactiva, se deben integrar una serie de iniciativas para actuar en forma rápida y eficaz ante incidentes y recuperación de información, así como elementos para generar una cultura de seguridad dentro de la organización; ya que en muchos casos la violación a la seguridad de los sistemas es producido por personas dentro de las mismas organizaciones.