La in-seguridad de la información

Cortafuegos, antivirus, sistemas de detección y/o prevención de intrusiones (IDS/IPS), cifrado, antispam, antispyware... ¡«antitodo»! ¿Pero por qué quieren acceder a mis sistemas? ¿Tanto valor tiene mi información? Te respondemos en este artículo

La in-seguridad de la información

5 febrero 2009

LA OPINIÓN DEL EXPERTO

Desde que descubrí que una de la acepciones del término Informática es «información automática» dejé de pensar en ella como un conjunto de «cacharros» con lucecitas que tantos buenos ratos nos hace pasar, para asimilar que el uso práctico es procesar y comunicar información.

Nuestra información a todos los niveles, tanto para uso empresarial como particular. Quedan lejos los tiempos en los que era extraño encontrar un cortafuegos protegiendo nuestra red; quien más y quien menos, independientemente del sector o tamaño de la empresa, e incluso en casa, es consciente de que hay un riesgo de intrusión y toma las precauciones mínimas de protección.

Por eso, en los últimos años han ido asentándose las diferentes tecnologías y procedimientos de seguridad de la información. Existen múltiples estándares y normas que podemos usar para protegernos de los diferentes riesgos.

Por sintetizar, a continuación tenemos los principales conjuntos de controles que recoge el código de buenas prácticas ISO/IEC 27002:2005: Política de seguridad de la información, Organización de la seguridad, Gestión de activos, Seguridad de los recursos humanos, Seguridad física y ambiental, Gestión de las comunicaciones y operaciones, Control de acceso, Adquisición, desarrollo y mantenimiento de los sistemas de información, Gestión de incidentes, Gestión de la continuidad del negocio y Cumplimiento.

Como se puede ver, se estructura en diferentes conjuntos de controles o dominios que van más allá de las medidas meramente técnicas y se orienta en garantizar la integridad, confidencialidad y disponibilidad de la información crítica para nuestro negocio o propios intereses.

Un punto clave a la hora de aplicar los controles es conocer los diferentes niveles de riesgo a los que estamos expuestos; es decir, hacer un análisis de riesgos. Pero no perdamos el horizonte: los resultados deben ser prácticos y poner de manifiesto los niveles de riesgos reales, para luego poder aplicar los controles de una manera estructurada.

Otra de las tendencias actuales es la protección de la información en cualquier de los formatos en la que esté presente. Por ejemplo en materia de protección de datos de carácter personal, el Real Decreto 1720/2007 ya recoge de manera específica la protección de la información no automatizada (principalmente en papel).

¿Somos realmente conscientes del valor de nuestra información? ¿Sabemos lo que tiramos a la basura tanto en las empresas como en casa? ¿Cuánta información sobre nuestra empresa o sobre nosotros mismos estamos poniendo a disposición «pública»? ¿Cómo nos protegemos?

Para dar respuestas a estas preguntas, poco a poco la profesión en materia de seguridad de la información también se está asentando con certificaciones reconocidas como CISSP, CISA ó ISO 27001 Lead Auditor.

Por Diego Bueno Torres, gerente de Seguridad de la Información en IT Advisory deKPMG