Se conoce como seguridad de la información al conjunto de medidas preventivas y reactivas de las empresas para proteger la información que manejan, manteniendo la confidencialidad, disponibilidad e integridad de la misma y así garantizar la continuidad del negocio y prevenir o reducir al máximo los posibles daños causados.
Para determinar qué es lo que hay que asegurar, deberán tenerse en cuenta tanto los aspectos técnicos como organizativos, de recursos humanos y de cumplimiento legal de la empresa, pues no se puede establecer un plan de seguridad genérico, ya que cada entidad es diferente y tiene sus propios riesgos y objetivos de seguridad.
CÓMO MEDIR LA SEGURIDAD DE UNA EMPRESA
Las acciones a seguir para medir la seguridad en una empresa son, entre otros:
• Identificar los Activos de información críticos (producción, contabilidad o gestión de personal).
• Realizar un análisis de riesgos (identificando los riesgos y amenazas)
• Identificar el nivel de seguridad existente en los sistemas, servicios, aplicaciones e infraestructura.
• Definir y planificar los planes de acción a realizar a corto, mediano y largo plazo.
• Implementar mecanismos de seguridad en servidores, estaciones de trabajo y dispositivos de red.
• Formar a los empleados para el uso seguro de las TIC.
Pero no basta con conocer los riesgos y saber dónde están, sino que para reducir esos riesgos la empresa ha de adoptar previamente una serie de medidas:
CONTROLES PREVIOS QUE DEBE LLEVAR A CABO UNA ORGANIZACIÓN
Algunos de los controles previos que deben implantarse por las empresas son:
• Formación a los usuarios con acceso a datos.
• Identificar la normativa aplicable según los datos a tratar y su finalidad.
• Identificar los puntos débiles de la seguridad: contraseñas, redes, aplicaciones,….
• Establecer procedimientos para notificar los incidentes de seguridad.
• Actualizar los sistemas con los últimos parches de seguridad.
• Implantar una política efectiva de contraseñas.
• Llevar a cabo un registro de empleados con acceso a los sistemas de la entidad.
• Realizar copias de seguridad periódicas.
• Definir un Plan de continuidad de negocio.