CARACTERÍSTICAS DE UN PROGRAMA DE SEGURIDAD INFORMÁTICA
Toda vez que las medidas implementadas en un programa de seguridad afectan de una u otra forma la productividad de las empresas en su campo de aplicación específica, surge un verdadero problema, la implementación de medidas en lo relacionado con la protección de los bienes informáticos, o seguridad de la información, habida cuenta que hoy en día la gran mayoría de la información de las empresas, está contenida en los medios de almacenamiento y transmisión electrónicos.
Dicho lo anterior es importante referir las características que debería tener todo programa de seguridad de los bienes informaticos, para que de una parte brinde los mínimos requerimientos de protección y a su vez no se convierta en un obstáculo en el desarrollo de las tareas diarias de los operadores de los sistemas.
CONFIDENCIALIDAD
La confidencialidad de la información asegura que sólo aquellos con suficientes privilegios y una demostrada necesidad pueden acceder a cierta información, es un concepto parecido al de la compartimentación, cada funcionario debe saber únicamente lo necesario para el efectivo cumplimiento de sus funciones. Para lograr este objetivo se deberían tener en cuenta, entre otras, las siguientes medidas:
• Aplicación de políticas de seguridad: las políticas son los lineamientos generales, dictados desde la alta dirección, que formulan los parámetros que debe cumplir la organización para el logro de los objetivos formulados en la estrategia empresarial.
• Clasificación de la información: hace referencia a que todo documento realizado en la organización, debe tener asignado un parámetro de divulgación, en tanto su contenido sea más o menos sensible para la empresa.
• Almacenamiento seguro de documentos: los lugares donde la información es almacenada, ya sea en medios físicos o electrónicos, deben ser protegidos físicamente, para evitar el acceso fraudulento, o sustracción deliberada, así como los daños producidos por riesgos naturales, accidentales o provocados.
• Criptografía: es el arte de cifrar o codificar la información, en general la información más sensible debe estar protegida bajo este parámetro.
DISPONIBILIDAD
Consiste en tener acceso a la información sin interferencia y sin obstrucción. Disponibilidad no implica que la información sea accesible para cualquier usuario, lo que significa es que tenga disponibilidad sólo para usuarios autorizados.
PRIVACIDAD
La definición de privacidad no se enfoca sobre la libertad de observación o acceso a la información, se debería enfocar sobre el uso de la información en formas conocidas para la persona que la provee. Es ahora posible recolectar y combinar información desde diferentes fuentes, las cuales han producido detalladas bases de datos cuyos componentes podrían ser usados de manera no correcta, o sin la debida autorización del dueño de la información.
Existen varios métodos técnicos para proteger las bases de datos y documentos con información sensible, en este sentido, es también importante proteger la información durante su transmisión por las redes internas y externas.
IDENTIFICACIÓN
Un sistema de información posee las características de identificación cuando es capaz de reconocer usuarios individuales. La identificación es el primer paso en conseguir el acceso para el material seguro, y sirve como soporte para las subsiguientes autenticación y autorización.
La autenticación e identificación son esenciales para estandarizar el nivel de acceso o autorización que se le concede a un individuo. Por lo general el nivel de identificación es dado mediante un nombre de usuario o ID; su manejo confidencial, así como su permanente actualización son claves a la hora de la implementación.
AUTENTICACIÓN
La autenticación ocurre cuando un control da pruebas de que el usuario posee la identidad que suministra. Existen algunos hardware en criptografía que facilitan este mecanismo.
AUTORIZACIÓN
Después de que la identidad del usuario es autenticada, un proceso llamado autorización da la seguridad de que un usuario ha sido específicamente y explícitamente autorizado para acceder, actualizar o eliminar los contenidos de un archivo, un ejemplo de este control es la activación o uso de listas de control de acceso y grupos de autorización en un ambiente de trabajo en red. Es una característica bien importante cuando se utilizan varias terminales donde las personas pueden adicionar o cambiar datos a la información contenida en bases de datos.
Un programa de seguridad exitoso en información, combina estos y otros elementos. El arte de reducir y administrar el riesgo requiere comunicación y cooperación entre todos los niveles de la organización. En otras palabras el aseguramiento de los activos de información puede ser alcanzado sólo a través de la administración cuidadosa y la concientizacion de todos los funcionarios, lo cual genera cultura en torno al tema de la seguridad.
