Afirmar hoy en día que participamos de la sociedad de la información es algo que no debiera sorprender a nadie y, por tanto, sentenciar que quien cuente con la mejor información se encuentra en una posición privilegiada, tampoco. Entonces, podemos afirmar que la información es poder y, por ello, su gestión uno de los principales deberes a atender por parte de nuestras organizaciones, pudiendo llegar a decir que nos encontramos ante uno de los principales activos de cualquiera de ellas, cuya característica principal radica en ser el único poco o nada reemplazable.
Así, no debemos olvidar igualmente que esta información, y los sistemas donde se aloja (SSII), están expuestos a amenazas que pueden llegar a ser críticas para la supervivencia de la empresa, y que han hecho comunes en nuestro vocabulario palabras como virus, phising, defacement, ataques de denegación de servicio, fuga de información…
El constante cambio de nuestro entorno, al que hemos de asistir como actores principales y no como meros espectadores, hace necesario adecuar en tiempo real, y en ocasiones de forma proactiva, a la organización a las nuevas realidades que se van sucediendo de forma rápida e ininterrumpida, lo que genera igualmente una creciente necesidad de estar atentos al estado de la seguridad de los SSII.
Pero, aún hay una pregunta de base a la que debemos responder: ¿qué debo entender la seguridad de los SSII de la que venimos hablando? La verdad es que ésta no ha de ser interpretada como sinónimo de seguridad informática, ya que contempla no sólo los aspectos técnicos sino que se extiende al ámbito organizativo, contemplando otros muchos factores que quedan fuera del ámbito de aplicación de la última
Sin embargo esta necesidad de la que hablamos no es siempre fácil de satisfacer ya que, amén de implantar los correspondientes medios técnicos de control (control de accesos…), es necesario recurrir a la definición de buenas prácticas en la gestión (planes de contingencias, gestión de la demanda, gestión de proveedores…) que apoyen el poder alcanzar el objetivo último de cualquier empresa: maximizar la rentabilidad de sus operaciones, sin olvidar otras imposiciones de carácter legal que puedan ser de aplicación obligada (LOPD, LSSICE…), de ahí que en ocasiones sea conveniente recurrir a la colaboración de empresas que presten este tipo de servicios.
Concretando, y de forma general, nos encontramos entonces con que la seguridad de los SSII ha de atender fundamentalmente a tres cualidades:
- Confidencialidad: sólo aquellas personas con autorización suficiente han de poder acceder a los servicios con que cuenta un sistema de información, de forma que éstos no se muestren al resto de usuarios
- Integridad: los servicios, y por ende la información, sólo podrán ser modificados/editados por personal autorizado y siempre que exista un control que lo registre, de forma que se cuente con evidencias que determinen si los datos (la información) han sido alterados durante su utilización, bien de forma accidental o intencionada
- Disponibilidad: los SSII, y lo servicios que los conforman, han de permanecer accesibles a los usuarios de los mismos
Es por todo ello por lo que nos encontramos con que la securización de los SSII ha pasado a convertirse en una labor de especial relevancia y representatividad en la empresa, no exenta de complicación sin embargo; y es que, amén de lo complejo que puede resultar el dotar de seguridad a nuestros sistemas de manera interna, no siempre se dispone de aquellas herramientas que permitan una correcta gestión de todos los sistemas y servicios con que se cuenta en la organización
En definitiva, y a modo de conclusión, hemos de entender que la preocupación por la seguridad de los SSII ha de ser un objetivo estratégico que requerirá ser planificado, implantado y controlado para mejorar la gestión realizada
Así mismo la política de seguridad implantada deberá buscar de forma directa no sólo la protección de la información ante potenciales amenazas, sino garantizar igualmente la continuidad del negocio para aquellos casos en que éstas pudieran llegar a suceder.
Eduardo Céspedes
Enviar comentarios