La educación de los usuarios es fundamental para que la tecnología de seguridad pueda funcionar. Es evidente que por mucha tecnología de seguridad que se implante en una organización, si no existe una clara disposición por parte de los directivos de la empres y una cultura a nivel de usuarios, no se conseguirán los objetivos perseguidos con la implantación de un sistema de seguridad. Por tanto, la seguridad informática precisa de un nivel organizativo, que posibilite unas normas y pautas comunes por parte de los usuarios de sistemas dentro de una empresa, por lo que diremos que:
Sistema de seguridad = TECNOLOGÍA + ORGANIZACIÓN
Los tres elementos principales a proteger en cualquier sistema informático son el software, el hardware y los datos.
Habitualmente los datos constituyen el principal elemento de los tres a proteger, ya que es el más amenazado y seguramente el más difícil de recuperar: con toda seguridad un servidor estará ubicado en un lugar de acceso físico restringido, o al menos controlado, y además en caso de pérdida de una aplicación (o un programa del sistema, o el propio núcleo del sistema operativo) este software se puede restaurar sin problemas desde su medio original (por ejemplo el CD o DVD con el sistema operativo que se utilizó para su instalación). Sin embargo, en caso de pérdida de una base de datos o de un proyecto de un usuario, no tenemos un medio “original” desde el que restaurar, hemos de pasar obligatoriamente por un sistema de copias de seguridad, y a menos que la política de copias sea muy estricta, es difícil devolver los datos al estado en que se encontraban antes de la pérdida.
También debemos ser conscientes de que las medidas de seguridad que deberán establecerse se deben contemplar a diferentes niveles, desde aspectos más locales, personales o individuales hasta los globales que afectan a una organización, o incluso la ciudadanía y empresas en conjunto, como son las leyes.
Por tanto, la seguridad informática comprende el hardware y el sistema operativo, las comunicaciones (por ejemplo protocolos y medios de transmisión seguros), medidas de seguridad físicas (ubicación de los equipos, suministro eléctrico, etc.), los controles organizativos (políticas de seguridad de usuarios, niveles de acceso, contraseñas, normas, procedimientos, etc.) y legales (por ejemplo la Ley Orgánica de Protección de Datos, LOPD).
- Seguridad pasiva: Seguridad física y ambiental y copias de seguridad en los sistemas informáticos.
- Seguridad lógica: Control de acceso a los sistemas, gestión de sistemas operativos: usuarios, privilegios y contraseñas, software de seguridad antimalware y cifrado en la información y comunicaciones mediante el estudio de la criptografía.
- Seguridad en redes corporativas: estudiando protocolos y aplicaciones seguras, configuraciones seguras inalámbricas y protegiendo especialmente la seguridad perimetral mediante cortafuegos y proxy.
- Configuraciones de alta disponibilidad: mediante redundancia en el almacenamiento RAID, etc.
- Normativa legal en materia de seguridad informática.
Información Aportada por: Miguel Angel García Soto
Entradas
1 comentarios:
Vaya, esto parece un resumen del temario del módulo de Seguridad y Alta Disponibilidad.
Publicar un comentario