Activo estrategico
Páginas: 12 (2809 palabras)
Publicado: 2 de noviembre de 2009
LA INFORMACIÓN COMO ACTIVO ESTRATÉGICO:
SEGURIDAD Y PROTECCIÓN
1. INTRODUCCIÓN
La información es uno de los activos más importantes de las entidades, y de modo especial en algunos sectores de actividad.
Es indudable que cada día las entidades dependen en mayor medida de la información y de la tecnología, y que los sistemas de información están más soportados por la tecnología, frentea la realidad de hace pocas décadas.
Por otra parte, hace unos años la protección era más fácil, con arquitecturas centralizadas y terminales no inteligentes, pero hoy día los entornos son realmente complejos, con diversidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales.
Entre las plataformas físicas ("hardware") puedenestar: ordenadores grandes y medios, ordenadores departamentales y personales, solos o formando parte de redes, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más difícil proteger los datos, especialmente porque los equipos tienen filosofías y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.
Al hablar deseguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información.
En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad:
La confidencialidad: se cumple cuando sólo las personas autorizadas (en un sentido ampliopodríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente.
Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿cuál podría ser su uso final? ¿habría una cadena de cesiones o ventas incontroladas de esos datos, que podrían incluir datos como domicilios o perfil económico, o inclusodatos médicos?
¿Y si alguien se hiciera con un "disquete" con lo que perciben los directivos de nuestra entidad?
La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoría.
Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas acobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (corruptas decimos a veces), lo que haría difícil la reconstrucción.
La disponibilidad: secumple si las personas autorizadas pueden acceder a tiempo a la información.
El disponer de la información después del momento necesario puede equivaler a la no disponibilidad. Otro tema es disponer de la información a tiempo pero que ésta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.
Otro caso grave es la no disponibilidad absoluta, porhaberse producido algún desastre. En ese caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según las estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.
En relación con ello deben existir solucionesalternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permita restablecer las operaciones en un tiempo inferior o igual al prefijado.
Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el impacto en sus áreas, y a un nivel corporativo,...
SEGURIDAD Y PROTECCIÓN
1. INTRODUCCIÓN
La información es uno de los activos más importantes de las entidades, y de modo especial en algunos sectores de actividad.
Es indudable que cada día las entidades dependen en mayor medida de la información y de la tecnología, y que los sistemas de información están más soportados por la tecnología, frentea la realidad de hace pocas décadas.
Por otra parte, hace unos años la protección era más fácil, con arquitecturas centralizadas y terminales no inteligentes, pero hoy día los entornos son realmente complejos, con diversidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales.
Entre las plataformas físicas ("hardware") puedenestar: ordenadores grandes y medios, ordenadores departamentales y personales, solos o formando parte de redes, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más difícil proteger los datos, especialmente porque los equipos tienen filosofías y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.
Al hablar deseguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información.
En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad:
La confidencialidad: se cumple cuando sólo las personas autorizadas (en un sentido ampliopodríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente.
Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿cuál podría ser su uso final? ¿habría una cadena de cesiones o ventas incontroladas de esos datos, que podrían incluir datos como domicilios o perfil económico, o inclusodatos médicos?
¿Y si alguien se hiciera con un "disquete" con lo que perciben los directivos de nuestra entidad?
La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoría.
Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas acobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.
Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (corruptas decimos a veces), lo que haría difícil la reconstrucción.
La disponibilidad: secumple si las personas autorizadas pueden acceder a tiempo a la información.
El disponer de la información después del momento necesario puede equivaler a la no disponibilidad. Otro tema es disponer de la información a tiempo pero que ésta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.
Otro caso grave es la no disponibilidad absoluta, porhaberse producido algún desastre. En ese caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según las estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.
En relación con ello deben existir solucionesalternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permita restablecer las operaciones en un tiempo inferior o igual al prefijado.
Para ello los usuarios habrán determinado previamente la criticidad de las aplicaciones y el impacto en sus áreas, y a un nivel corporativo,...
Leer documento completo
Regístrate para leer el documento completo.