Los datos son escalofriantes. El 66 % de los usuarios de Internet han sufrido pérdidas de datos en algún momento. Más preocupantes son las pérdidas a nivel de organizaciones y empresas ya que afectan de forma trágica a la riqueza económica y el empleo. El 70 % de los negocios cierran cuando han sufrido pérdida de datos. Las que sobreviven pierden el 75 % de sus clientes por la falta de confianza y la recuperación puede llegar a requerir casi la mitad del valor de la empresa. El 29 % de la pérdida de datos se producen por accidentes, no por ataques piratas, ni fallos en el software. El 50 % de las empresas han sido atacadas informáticamente.
La información que maneja nuestra organización o empresa está contenida en unos activos informáticos, entendiendo como tales hardware (ordenadores, discos duros, etc.) y software (programas, archivos, etc.). Este sistema stá sujeto a vulnerabilidades (debilidades) y amenazas (ataques). La identificación de estas vulnerabilidades y amenazas corresponde al análisis de riesgos.
El análisis de riesgos debe tener una perspectiva amplia y no debe limitarse sólo a la protección de los activos informáticos, sino a la protección de la organización en sí y sus fines. Esto implica involucrar no sólo a los técnicos informáticos sino a todo el personal de la organización.
En el proceso se debe evaluar y cuantificar el impacto sobre la organización que supondría un accidente o un ataque a los activos informáticos. Para ello se deben identificar vulnerabilidades y amenazas, y elaborar un plan con toma de decisión de forma que el riesgo se reduzca a un nivel asumible.
Con el fin de asegurar las actividades de la actividad o negocio de la organización o empresa se debe crear el llamado plan de contingencias, que se ahce conforme al círculo de Deming o círculo PDCA: planificar (plan en inglés ), hacer (do), verificar (check) y actuar (act). Debe identificar al menos los activos informáticos, las amenazas y los impactos.
El plan de contingencias se divide en tres subplanes: plan de respaldo, acciones preventivas para evitar o reducir las amenzas; plan de emergencia, medidas que se tomarán durante la materialización de la amenaza; y plan de recuperación, medidas de reparación de los daños producidos.
Relacionado con el anterior está el plan de continuidad del negocio o plan BCP (Businnes Continuity Plan), que no sólo recoge contingencias por cuestiones informáticas, sino por otros motivos, como pueden ser desastres naturales, políticos o incluso sanitarios.
Un sistema verdaderamente útil para evitar pérdidas de información es la copia de seguridad, también llamada copia de respaldo. Mientras en un sistema doméstico su realización puede ser sencilla, en una gran organización el procedimiento puede ser complicado. Ello requiere resolver algunas de las siguientes cuestiones: el medio o soporte para realizar las copias, el medio para restaurar los datos, la periodicidad de las copias, copia de datos en uso, control de cambios, etc.
La normativa suele exigir que las copias de seguridad que contengan datos personales de nivel alto (como salud, religión, hábitos sexuales, etc.) deben estar cifradas y deben guardarse en un lugar distinto del de origen.
La copia de seguridad es el mejor medio para evitar daños de pérdida de datos, pero hay que tener en cuenta que tienen sus limitaciones, puede ser cara y puede que no funcione correctamente del todo.
1. Análisis de riesgo
- Lectura: Wikipedia. Análisis de riesgo informático
2. Plan de contingencias y plan de continuidad
- Lectura: Wikipedia. Plan de contingencias
- Lectura: Wikipedia. Plan de continuidad
3. Copia de seguridad
- Lectura: Wikipedia. Copia de seguridad
Seguridad informática
0 comentarios:
Publicar un comentario