Desde que la informática salió del ámbito de las grandes empresas y fue penetrando en mundo de los pequeños usuarios hasta llegar a los usuarios personales, que sumamos varios millones alrededor del mundo, sus herramientas, métodos y procedimientos han evolucionado y se han vuelto mas complejos al parejo de los equipos de cómputo y los programas.

Normalmente como usuarios personales desconocemos lo que sucede en el mundo de las grandes instalaciones de cómputo en lo que se refiere a la Seguridad de la Información, patrimonio muchas veces invaluable e invaluado de una empresa.

Aquí daremos un vistazo a ese mundo para tener una idea de las repercusiones que puede traer a una empresa la pérdida masiva de información, así como los esfuerzos que se realizan para mantenerla segura y las grandes cantidades de dinero que se invierten en ello.

Al pensar en seguridad de información, es casi inevitable pensar en los virus informáticos. En esta ocasión, no hablaremos de ellos. Ya bastante presión nos ponen día con día con sus inesperadas visitas.

Decíamos que una empresa en la medida que crece y complica sus operaciones, requiere mantener una infraestructura informática y humana lo suficientemente sólida y coordinada para no caer en el caos de la pérdida de información de sus clientes, proveedores, precios, etc. Pensemos un momento en los bancos. ¿Podemos imaginar el impacto que provocaría la pérdida de la cartera de clientes o de los saldos de las cuentas de cheques? Sería simplemente catastrófico!!!!.

Alrededor y dentro de las instituciones y empresas que manejan grandes volúmenes de información, existen organizaciones que han desarrollado la metodología y los procedimientos para aplicar medidas preventivas en materia de Seguridad de la Información.

Esa metodología depurada y fortalecida a través del tiempo, incluye las disciplinas o actividades que se mencionan enseguida, de las cuales daremos una breve descripción:

· Auditoría Funcional
· Análisis de Impacto
· Seguridad Física
· Seguridad Lógica
· Estrategia de Seguridad
· Estrategia Tecnológica para Seguridad de Información
· Políticas y procedimientos
· Planes para casos de Contingencia
· Planes para Recuperación en Casos de Desastre.

AUDITORIA FUNCIONAL

Se realiza un levantamiento de la información referente a la infraestructura de cómputo, de comunicaciones, de los sistemas, de la información contenida en los dispositivos para almacenamiento de datos, de los procedimientos de seguridad, manejo de respaldos de datos y de la organización humana que existe alrededor de ellos para su manejo, gestión, soporte y mantenimiento.

Del análisis de esta información, derivan muchas veces propuestas de mejora y/o cambios.

ANÁLISIS DE IMPACTO

Este es un estudio muy complejo realizado por verdaderos especialistas, que con base en la información de la Auditoría, establecen una serie de supuestos catastrofistas pero posibles, para evaluar en dinero, cual sería el impacto para el negocio en alguno de los siguientes casos de ejemplo, contando o no con las medidas adecuadas para la Seguridad:

· Pérdida de tal o cual información
· Pérdida de comunicaciones o del suministro eléctrico por distintos períodos de tiempo
· Catástrofes naturales o actos de terrorismo que afecten a los centros de cómputo y las comunicaciones
· Etc.

Este tipo de estudios, realmente ponen a temblar y a pensar a las empresas, cuando se detectan puntos débiles en algunos de los aspectos estudiados ya que las pérdidas potenciales pueden ser millonarias.

SEGURIDAD FÍSICA

Se analizan las medidas de seguridad para acceso a los centros de cómputo y centrales de comunicaciones, bóvedas para resguardo de datos, personal especializado, autorizaciones para acceso, medidas preventivas en caso de incendio o explosión, hasta lo referente a la estructura de los edificios como prevención, de acuerdo con la sismicidad de la zona.

SEGURIDAD LÓGICA

Este aspecto tiene que ver con la seguridad en cuanto a cómo y por quién son accesadas las Bases de Datos, en particular, las medidas programáticas de control y los perfiles de los usuarios de los sistemas, para otorgarles permisos de acceso para consulta, modificación o eliminación de datos a través de los procesos de su competencia.

ESTRATEGIA DE SEGURIDAD

Este es un documento, que establece los principios sobre los cuales se definirán las Políticas y Procedimientos que en materia de seguridad serán observados por toda la organización.

ESTRATEGIA TECNOLÓGICA PARA SEGURIDAD DE INFORMACIÓN

Esta información es la que establece los estándares que serán aplicados en una organización el lo referente a dispositivos y software de seguridad, como por ejemplo:

· Antivirus corporativo y sus reglas de uso
· Firewalls
· UPS (Por sus siglas en Inglés: Uninterruptable Power Supply - Sistema de Energía Ininterrumpible)
· Etc.

POLÍTICAS Y PROCEDIMIENTOS

Todos los procedimientos y las políticas en materia de seguridad, tienen que estar documentados y ordenados, para que puedan ser consultados y actualizados conforme se hagan modificaciones en alguno de los puntos antes mencionados. A distintos niveles de la organización, esta información debe estar accesible y ser administrada por un grupo especializado.

PLANES PARA CASOS DE CONTINGENCIA O DESASTRE

Es importante distinguir entre una contingencia y un desastre en materia de seguridad. El primero es una situación que puede afectar la continuidad de las operaciones normales de la empresa y el segundo es el caso que impide totalmente las operaciones, como podría ser el evento de una catástrofe natural o "Acto de Dios" (terremoto o inundación).

La finalidad de estos Planes, realizados normalmente por especialistas trabajando muy estrechamente con el personal operativo y la alta dirección de las empresas, es definir y coordinar las actividades, los responsables y los medios que deberán ser activados en caso de presentarse una contingencia o un desastre.

En las grandes organizaciones, se realizan medidas preventivas que llegan hasta el uso de Centros de Cómputo Alternos sobre los cuales la información se está replicando en tiempo real, para el caso de que si el Centro principal es inhabilitado, las operaciones continúen sin interrupción desde el Centro Alterno. Aunque esto representa inversiones muy altas para las empresas, minimiza los impactos económicos al negocio que se tendrían al no contar con esa infraestructura.

¿Y qué con nosotros los usuarios personales de la computación?.

Como vemos, nuestras preocupaciones al respecto son agraciadamente mucho menores, pero no por ello debemos descuidarnos.

Para terminar, las siguientes recomendaciones nos permitirán continuar nuestras operaciones en la computadora personal, con menor riesgo e impacto en casos de los pequeños desastres a los que estamos expuestos, que para nuestro nivel podrían ser enormes, como pérdidas de información, de tiempo y de nuestra salud mental por los anteriores:

· Respaldar periódicamente nuestra información y archivos
· Mantener actualizado nuestro antivirus
· En lo posible, poner un pequeño UPS para regular la corriente eléctrica de entrada y darnos tiempo de respaldo para apagar la compu cuando hay una interrupción
· Apagar la computadora cuando llueve con tormenta eléctrica
· No abrir cualquier mail o attachment ejecutable que se reciba por correo sin estar seguros de su procedencia o importancia
· No poner junto al teclado la taza con café o el vaso con bebidas o la botella de tu cerveza favorita
· No permitir al perro jugar a mordisquear los cables de la computadora.

LIGAS RECOMENDADAS:
Psicosis de Virus Informáticos