Desde la consolidación de Internet como medio de interconexión global, los incidentes de seguridad
relacionados con sistemas informáticos vienen incrementándose de manera alarmante. Este hecho, unido
a la progresiva dependencia de la mayoría de organizaciones hacia sus sistemas de información, viene
provocando una creciente necesidad de implantar mecanismos de protección que reduzcan al mínimo los
riesgos asociados a los incidentes de seguridad. En este artículo, vamos a proporcionar una visión general
de los aspectos más relevantes de la seguridad informática, observando esta disciplina desde un punto de
vista estratégico y táctico. Para ello destacaremos la conveniencia de afrontar su análisis mediante una
aproximación de gestión, concretamente con un enfoque de gestión del riesgo. Para completar esta visión
introductoria a la seguridad informática, mencionaremos las amenazas y las contramedidas más frecuentes
que deberían considerarse en toda organización.
La seguridad de software de informática, de igual forma a como sucede con la
seguridad aplicada a otros entornos, trata de minimizar los riesgos
asociados al acceso y utilización de determinado sistema de forma no
autorizada y en general malintencionada. Esta visión de la seguridad
informática implica la necesidad de gestión, fundamentalmente
gestión del riesgo. Para ello, se deben evaluar y cuantifi car los
bienes a proteger, y en función de estos análisis, implantar medidas
preventivas y correctivas que eliminen los riegos asociados o que los
reduzcan hasta niveles manejables.
En general cualquier persona consideraría poco razonable
contratar a un agente de seguridad en exclusiva para proteger su
domicilio. Posiblemente sería una medida de seguridad excelente para
evitar accesos no autorizados a nuestro domicilio, sin embargo, muy
pocos lo considerarían, simplemente por motivos económicos. Tras
evaluar el valor de los bienes a proteger, lo habitual sería considerar
otras medidas más acordes con el valor de nuestros bienes.
Podríamos pensar en una puerta blindada, un conserje compartido
con otros vecinos o incluso un servicio de vigilancia privada basada en
sensores, alarmas y acceso telefónico con una central de seguridad.
Combinando estas medidas preventivas con otras correctivas como
podría ser una póliza de seguro contra robo, alcanzaríamos un nivel
de seguridad que podría considerarse adecuado. Muchas veces sin
hacerlo de forma explícita, habríamos evaluado el valor de nuestros
bienes, los riesgos, el coste de las medidas de seguridad disponibles
el objeivo
El objetivo de la seguridad de softwar informática es proteger los recursos
informáticos valiosos de la organización, tales como la información,
el hardware o el software. A través de la adopción de las medidas
adecuadas, la seguridad informática ayuda a la organización cumplir
sus objetivos, protegiendo sus recursos fi nancieros, sus sistemas, su
reputación, su situación legal, y otros bienes tanto tangibles como
inmateriales. Desafortunadamente, en ocasiones se ve a la seguridad
informática como algo que difi culta la consecución de los propios
objetivos de la organización, imponiendo normas y procedimientos
rígidos a los usuarios, a los sistemas y a los gestores. Sin embargo
debe verse a la seguridad informática, no como un objetivo en
sí mismo, sino como un medio de apoyo a la consecución de los
objetivos de la organización.
En general el principal objetivo de las empresas, es obtener
benefi cios y el de las organizaciones públicas, ofrecer un servicio
efi ciente y de calidad a los usuarios. En las empresas privadas, la
seguridad informática debería apoyar la consecución de benefi cios.
Para ello se deben proteger los sistemas para evitar las potenciales
pérdidas que podrían ocasionar la degradación de su funcionalidad
o el acceso a los sistemas por parte de personas no autorizadas.
De igual forma, las organizaciones públicas deben proteger sus
sistemas para garantizar la oferta de sus servicios de forma efi ciente
y correcta.
En cualquier caso, los gestores de las diferentes organizaciones
deberían considerar los objetivos de la propia organización e
incorporar la seguridad de los sistemas desde un punto de vista
amplio, como un medio con el que gestionar los riesgos que puedenen el mercado y el nivel de protección que ofrecen.
Gestión del Riesgo
La protección de los sistemas y de la información no suele eliminar
completamente la posibilidad de que estos bienes sufran daños. En
consecuencia, los gestores deben implantar aquellas medidas de
seguridad que lleven los riesgos hasta niveles aceptables, contando
para ello con el coste de las medidas a implantar, con el valor de los
bienes a proteger y con la cuantifi cación de las pérdidas que podrían
derivarse de la aparición de determinado incidente de seguridad.
Los costes y benefi cios de la seguridad deberían observarse
cuidadosamente para asegurar que el coste de las medidas de
seguridad no excedan los benefi cios potenciales. La seguridad debe
ser apropiada y proporcionada al valor de los sistemas, al grado de
dependencia de la organización a sus servicios y a la probabilidad y
dimensión de los daños potenciales. Los requerimientos de seguridad
variarán por tanto, dependiendo de cada organización y de cada
sistema en particular.
En cualquier caso, la seguridad informática exige habilidad para
gestionar los riesgos de forma adecuada. Invirtiendo en medidas
de seguridad, las organizaciones pueden reducir la frecuencia y
la severidad de las pérdidas relacionadas con violaciones de la
seguridad en sus sistemas. Por ejemplo, una empresa puede estimar
que está sufriendo pérdidas debidas a la manipulación fraudulenta
de sus sistemas informáticos de inventariado, de contabilidad o de
facturación. En este caso puede que ciertas medidas que mejoren los
controles de acceso, reduzcan las pérdidas de forma signifi cativa.
Las organizaciones que implantan medidas adecuadas de
seguridad, pueden obtener un conjunto de benefi cios indirectos
que también deberían considerarse. Por ejemplo, una organización
que cuente con sistemas de seguridad avanzados, puede desviar la
atención de potenciales intrusos hacia víctimas menos protegidas,
puede reducir la frecuencia de aparición de virus, puede generar una
mejor percepción de los empleados y otros colaboradores hacia la
propia empresa, aumentando la productividad y generando empatía
de los empleados hacia los objetivos organizativos.
Sin embargo, los benefi cios que pueden obtenerse con medidas
de seguridad presentan costes tanto directos como indirectos.
Los costes directos suelen ser sencillos de evaluar, incluyendo la
compra, instalación y administración de las medidas de seguridad.
Por su parte pueden observarse costes indirectos, como decremento
en el rendimiento de los sistemas, pueden aparecer necesidades
formativas nuevas para la plantilla o incluso determinadas medidas,
como un excesivo celo en los controles, pueden minar la moral de los
empleados.
En muchos casos los costes asociados a las medidas de seguridad
pueden exceder a los benefi cios esperados por su implantación, en
cuyo caso una correcta gestión llevaría a platearse su adopción frente
a la posibilidad de simplemente tolerar el problema.
No hay comentarios:
Publicar un comentario