La información como activo estratégico

AutorJavier Ribas
Cargo del AutorAbogado
Páginas#3001

LA INFORMACIÓN COMO ACTIVO ESTRATÉGICO:

SEGURIDAD Y PROTECCIÓN

Emilio del Peso Navarro

Licenciado en Derecho e Informática.

Socio IEE Informáticos Europeos Expertos.

Miguel A. Ramos

Doctor en Informática, CISA

Profesor de la Universidad Carlos III de Madrid

Socio Director IEE Informáticos Europeos Expertos

  1. INTRODUCCIÓN

    La información es uno de los activos más importantes de las entidades, y de modo especial en algunos sectores de actividad.

    Es indudable que cada día las entidades dependen en mayor medida de la información y de la tecnología, y que los sistemas de información están más soportados por la tecnología, frente a la realidad de hace pocas décadas.

    Por otra parte, hace unos años la protección era más fácil, con arquitecturas centralizadas y terminales no inteligentes, pero hoy día los entornos son realmente complejos, con diversidad de plataformas y proliferación de redes, no sólo internas sino también externas, incluso con enlaces internacionales.

    Entre las plataformas físicas ("hardware") pueden estar: ordenadores grandes y medios, ordenadores departamentales y personales, solos o formando parte de redes, e incluso ordenadores portátiles. Esta diversidad acerca la información a los usuarios, si bien hace mucho más difícil proteger los datos, especialmente porque los equipos tienen filosofías y sistemas operativos diferentes, incluso a veces siendo del mismo fabricante.

    Al hablar de seguridad hemos preferido centrarnos en la información misma, aunque a menudo se hable de seguridad informática, de seguridad de los sistemas de información o de seguridad de las tecnologías de la información.

    En cualquier caso hay tres aspectos principales, como distintas vertientes de la seguridad:

    La confidencialidad: se cumple cuando sólo las personas autorizadas (en un sentido amplio podríamos referirnos también a sistemas) pueden conocer los datos o la información correspondiente.

    Podemos preguntarnos ¿qué ocurriría si un soporte magnético con los datos de nuestros empleados o clientes fuera cedido a terceros? ¿cuál podría ser su uso final? ¿habría una cadena de cesiones o ventas incontroladas de esos datos, que podrían incluir datos como domicilios o perfil económico, o incluso datos médicos?

    ¿Y si alguien se hiciera con un "disquete" con lo que perciben los directivos de nuestra entidad?

    La integridad: consiste en que sólo las personas autorizadas puedan variar (modificar o borrar) los datos. Además deben quedar pistas para control posterior y para auditoría.

    Pensemos que alguien variara datos de forma que perdiéramos la información de determinadas deudas a cobrar (o que sin perderla tuviéramos que recurrir a la información en papel), o que modificara la última parte de los domicilios de algunos clientes.

    Algunas de estas acciones se podrían tardar en detectar, y tal vez las diferentes copias de seguridad hechas a lo largo del tiempo estarían "viciadas" (corruptas decimos a veces), lo que haría difícil la reconstrucción.

    La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información.

    El disponer de la información después del momento necesario puede equivaler a la no disponibilidad. Otro tema es disponer de la información a tiempo pero que ésta no sea correcta, e incluso que no se sepa, lo que puede originar la toma de decisiones erróneas.

    Otro caso grave es la no disponibilidad absoluta, por haberse producido algún desastre. En ese caso a medida que pasa el tiempo el impacto será mayor, hasta llegar a suponer la no continuidad de la entidad, como ha pasado en muchos de los casos producidos (más de un 80% según las estadísticas), ya que las incidencias son frecuentes, y tenemos cercano el caso de los daños en el área de Acapulco.

    En relación con ello deben existir soluciones alternativas, basadas en medios propios o contratados, copias actualizadas de la información crítica y de programas en un lugar diferente, y un verdadero plan de continuidad que permita restablecer las operaciones en un tiempo inferior o igual al prefijado.

    Para ello los usuarios habrán...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR