Dentro de un departamento de TI hay tres objetivos principales que debemos perseguir para proteger la información en las redes.
CONFIDENCIALIDAD
La confidencialidad se refiere a la protección de los datos ante una revelación no autorizada a terceras partes. Una empresa es responsable de proteger la privacidad de sus datos, entre los que puede haber datos de clientes y datos internos de la empresa.
Todos los clientes tienen derecho a la protección de la información privada. En muchos casos, este estándar es un requisito legal ( por ejemplo a través de la LOPD que hace referencia a los datos de las personas físicas registradas sobre cualquier soporte, informático o no). Lo mejor para una empresa es mantener una relación de confianza con sus clientes en lo referente al derecho de estos a la privacidad de su información. También haremos mención aquí a la revelación de información a través de los metadatos ya que incluso en el Esquema Nacional de Seguridad (de obligado cumplimiento por Administración Pública y empresas públicas y privadas que trabajan con ella) se ha dedicado un apartado específico a la limpieza de documentos para evitar así la fuga de datos.
La información propia de una empresa, que es sensible por naturaleza, también debe ser confidencial. Sólo las partes autorizadas deben tener acceso a la información identificada como confidencial. Además, la transmisión de dicha información debe realizarse de un modo seguro para evitar cualquier acceso no autorizado.
INTEGRIDAD
La Integridad se refiere a la certeza de que los datos no son destruidos o alterados de una forma no autorizada. Por ejemplo, la integridad se consigue cuando el mensaje enviado es idéntico al mensaje recibido. Deben tomarse medidas para garantizar la integridad de todos los datos, independientemente de si los datos son confidenciales.
DISPONIBILIDAD
La disponibilidad se define como el funcionamiento continuo de los sistemas de información. Las aplicaciones requieren distintos niveles de disponibilidad, dependiendo del impacto comercial del tiempo de inactividad (no es lo mismo que falle la intraweb que la aplicación de venta de entradas…). Para que una aplicación esté disponible, todos los componentes deben proporcionar un servicio continuo. Esos componentes pueden ser servidores de aplicaciones o de bases de datos, dispositivos de almacenamiento y la red extremo a extremo.
Los tres objetivos principales de la seguridad parecen muy simples. Sin embargo, el desafío de asegurar la red a la vez que se tienen en consideración las necesidades comerciales puede ser una tarea compleja. Los administradores deben administrar cuidadosamente las políticas de seguridad para mantener el equilibrio entre el acceso transparente, el uso y la seguridad.
Cualquier paso en falso en uno de estos objetivos pondría en riesgo la seguridad de nuestros datos. La siguiente imagen nos ilustra muy bien este hecho e introduce conceptos muy importantes como activos, amenaza, vulnerabilidad y sobretodo riesgo. Digo sobretodo porque es muy importante el concepto de gestión del riesgo, siempre se debe asumir un cierto riesgo, es decir, debemos plantearnos hasta donde nos vamos a proteger ya que sobretodo en empresas no tecnológicas esta protección va ligada a un desembolse económico bastante elevado y al final la dirección de la empresa deberá asumir un cierto riesgo.
Para finalizar vamos a ver varios ejemplos de riesgos de seguridad materializados:
- 16/1/2011. Internautas tumban la web del Senado. Ciberactivistas realizaron un ataque de denegación de servicio contra el portal www.senado.es que consiste en saturar de visitas las páginas web de forma coordinada, por lo que ésta quedó inaccesible, en protesta por la “ley Sinde”.
- 17/1/2011. El 11,6% de los ciudadanos no utiliza el ‘gobierno electrónico’ por considerarlo inseguro. La Online Business Scholl presenta su estudio “El Gobierno electrónico en España”, según el cual, los valencianos (un 17’8%) son los que menos confían en la seguridad de los trámites online, y los vascos (3’8%) los que más.