lunes, 16 de marzo de 2009

¿Cómo definiría los objetivos de seguridad de un usuario independiente o de una pequeña empresa ?

En el caso de una pequeña empresa o de un usuario independiente, los sistemas de proceso de la información son utilizados por uno, o como mucho, por un número pequeño de usuarios y los activos de información son limitados. Con ello, se reduce la problemática de protección de la información y es más fácil identificar el conjunto de salvaguardas a ser implantadas para proteger a un nivel aceptable los distintos activos de información utilizados.

De todas formas, las diferencias de configuración del sistema o sistemas utilizados, las características y atributos de los activos de información a proteger y en definitiva los objetivos finales para los que se utiliza el sistema, determinan el sistema de seguridad a ser implantado.

Cada característica propia del sistema tratado va asociada a un conjunto de amenazas que pueden atentar contra la seguridad del sistema, y a su vez estas amenazas, aconsejan la posible implantación de un conjunto de salvaguardas que, cada una en su justa medida, reducen el riesgo a que están sometidos los activos de la información.

Los componentes más generalizados y recomendables son:

a) Protección antivirus
La protección antivirus es hoy día uno de los sistemas más recomendables en cualquier tipo de sistema independiente de su tamaño. La gran proliferación de virus, gusanos, troyanos y otros módulos de software dañino pueden afectar tanto a sistemas conectados a redes de comunicación como aquellos que sin disponer de conexiones a redes externas, si disponen de dispositivos de lectura de soportes ópticos o magnéticos, capaces de importar cualquier tipo de virus.

b) Políticas de respaldo de la información
Como consecuencia de fallos técnicos, errores de usuario que pueden borrar de forma no deseada datos o por el efecto de algún virus, la información puede quedar borrada o ser alterada. La creación de archivos de respaldo de datos, garantiza que cualquier información borrada o destruída pueda ser recuperada de forma rápida y eficaz.

c) Sistema de cortafuegos
La conexión de un sistema o la red interna que conecta a un conjunto de sistemas a una red externa de tipo global, tal como Internet, permite el acceso a una gran cantidad de información. La interconexión de gran cantidad de redes de área local implica que cualquier puesto de trabajo podría acceder a cualquier tipo de información existente en cualquier red a no ser que disponga de un dispositivo, cortafuegos, capaz de limitar el acceso a aquellos puestos de trabajo que estén convenientemente autorizados.

Otros componentes de posible aplicación podrian ser:

a) Gestión de la seguridad
Recomendado a medida que los sistemas crecen en complejidad y número de usuarios

b) Organización del Sistema de Seguridad
Recomendado a medida que los sistemas se utilizan en organizaciones complejas con bastantes empleados.

c) Sistema de identificación y autenticación de usuarios:
Recomendado cuando los sistemas disponen de varios usuarios con áreas de responsabilidad diferentes o cuando se quiere identificar las acciones realizadas por cada usuario

d) Sistema de control de acceso:
Recomendado cuando los sistemas disponen de varios usuarios con áreas de responsabilidad diferentes y se quiere limitar a cada uno las funciones del sistema a las que está autorizado.

e) Personal
Recomendado en organizaciones con gran número de empleados, como sistema necesario para responsabilizar a cada empleado en sus obligaciones.

f) Planes de contingencia
Recomendado a medida que los sistemas realizan funciones de tipo crítico que no permiten que una determinada amenaza cause interrupciones en los servicios ofrecidos por la organización.

g) Protección a la privacidad de los datos
Recomendado en los casos en que la información tratada está catalogada como información afectada a la Ley Orgánica de Protección de Datos de Carácter Personal. (LOPDCP)

h) Utilización del cifrado de la información
Cuando se desea proteger la información almacenada o transmitida, de forma eficaz contra divulgaciones o modificaciones no deseadas, se puede recurrir a procedimientos y técnicas criptográficas.

i) Tratamiento de incidentes
Conjunto de procedimientos que permiten que cualquier incidente de seguridad de los sistemas de información sea tratado de forma lo más eficaz posible


No hay comentarios: