Para muchos la seguridad es un concepto ambiguo, una sensación, más que algo concreto, objetivo. Cuando hablamos de Sistemas de Información además es “complejo” y “complicado”, que sólo necesita ser tratado en organizaciones importantes, y que cuesta mucho tiempo y dinero (y donde además, “como no sé, es fácil que me engañen”).
Pero siempre que almacenes o dispongas de datos esenciales para tu trabajo o tu disfrute es muy peligroso ignorar su valor real. Esto cobra especial importancia en un mundo conectado a través de Internet ¿Qué ocurre si pierdes tus datos? ¿Puedes reinstalar ese servidor si falla? ¿A qué afecta ese fallo? ¿Cuánto dinero te costará tenerlo parado? ¿Realmente necesitan tus datos estar protegidos del acceso no autorizado? ¿Cumples las normativas legales? ¿Estás seguro de que tus datos o tus equipos no son manipulados (podemos entrar aquí incluso en el terreno de la paranoia) o utilizados con otros fines de los que crees? ¿Tienes un plan de contingencia ante un desastre, como una inundación del vecino de arriba sobre tus ordenadores? ¿Y que hay de tu vida digital, o la de tu empresa? Todos esos miles de emails, fotos, entradas en blogs, publicaciones...
Por ejemplo, si eres fotógrafo y utilizas técnicas digitales, ¿tienes tus originales guardados? ¿Y el trabajo de “revelado” de tus originales? ¿Qué hay de las presentaciones, o de tu agenda de contactos y clientes? ¿Proteges tus fotos confidenciales? ¿Has pensado exponer tus fotos bajo alguna licencia? ¿Y si pierdes tu portátil cuando estás de viaje?
En resumen… ¿Cuánto valen tus datos?
Como ves, la Seguridad en los Sistemas de Información abarca muchos aspectos y ámbitos. No es lo mismo la seguridad en tu hogar que en la empresa, ni se gestiona igual en una central nuclear que en una notaría.
Pero… ¿Qué es la Seguridad de la Información?
A mí me gusta decir que la seguridad en general se basa en tres pilares fundamentales, que deben complementarse:
- Disponibilidad: La información debe poder ser accedida cuando sea necesario.
- Confidencialidad: Sólo debe ser accesible por quien esté autorizado.
- Integridad: La información a la que se accede debe ser correcta, y en algunos casos irrefutable(que no se pueda negar la autoría).
En algunos ámbitos cobra más sentido uno u otro, pero en general, si lo razonamos, son estos sus principios y deben ser sus objetivos básicos en todos los casos… Tal vez deberíamos añadir un cuarto pilar en algunos casos:
- Legalidad: Se debe cumplir la legislación aplicable en cada caso.
¿Y cómo conseguimos estos objetivos? Pues imprimiendo un sentido lógico a nuestro tratamiento de la información, orientándolo a implementar un Plan de Seguridad. Pero tranquilo… Si tu empresa es muy pequeña, o estás leyendo esto pensando en la seguridad en tu casa, ese plan será sencillo. Cuantos más servicios, equipos, información y usuarios tengas, más se complica la cosa… Y sobre todo, cuanto más valor tenga la información a proteger.
De todas formas, piensa que una buena seguridad no tiene que suponer una gran inversión en tiempo y dinero. En muchas ocasiones, basta simplemente con una reorganización de recursos y roles, la configuración adecuada de las tecnologías y la adopción de metodologías existentes que se adaptan a cada necesidad.
Lo que sí hace falta es concienciación por parte de TODOS los usuarios implicados (empezando por la dirección, si piensas en una empresa). Aunque creas que la seguridad son sólo conceptos como hacker, sniffer, ataques DOS, virus, pishing… también forma parte del mismo tema dejar la puerta de la sala de los servidores abierta, un ordenador sin bloquearse automáticamente cuando su usuario está tomándose un café, o tener las copias de seguridad junto al sistema copiado.
Lo que sí hace falta es concienciación por parte de TODOS los usuarios implicados (empezando por la dirección, si piensas en una empresa). Aunque creas que la seguridad son sólo conceptos como hacker, sniffer, ataques DOS, virus, pishing… también forma parte del mismo tema dejar la puerta de la sala de los servidores abierta, un ordenador sin bloquearse automáticamente cuando su usuario está tomándose un café, o tener las copias de seguridad junto al sistema copiado.
La matriz del Riesgo
¿Están todos mis datos a salvo de un desastre, según el nivel de riesgo que puedo asumir?Piensa en la siguiente matriz de riesgos: en el cuadrado "Crítico" estarán los riesgos para la seguridad que tengan un mayor impacto en la continuidad del flujo de información para las vulnerabilidades que se puedan producir con mayor frecuencia. Por ejemplo, si no tienes un antivirus, tienes una alta probabilidad de ser atacado y puedes llegar a perder datos. ¿Qué pasa si en tu hermosa sala de servidores ignífuga y blindada se para el aire acondicionado?
Seguiré profundizando en el tema, cuando vaya consiguiendo algo de tiempo...;)