ACTIVIDAD: SEGURIDAD DE LA INFORMACION Y PROTECCION DE DATOS

...

¿Cómo se protege la Información en la empresa?

Dentro de la empresa, la Información adopta distintas formas; impresa en papel, almacenada electrónicamente, trasmitida por correo ordinario o por medios electrónicos, hablada de boca en boca, etc. Cualquiera que sea su forma, la Información debe ser protegida convenientemente. Proteger la Información en la empresa consiste básicamente en garantizar en todo momento sus tres atributos fundamentales:

- Confidencialidad, para asegurar que solo puedan acceder a la Información quienes estén autorizados

- Integridad, para asegurar que la Información sea en todo momento exacta, completa y fiable.

- Disponibilidad, para asegurar que los usuarios autorizados tengan acceso a la Información cuando lo requieran.

Para lograr el objetivo de proteger la Información de la empresa, es necesario implantar un Sistema de Gestión de Seguridad que incluya un conjunto de medidas de control a todos los niveles de la empresa, como políticas de Seguridad, procedimientos organizativos, funciones, dispositivos hardware y software, etc

La implantación de un Sistema de Gestión de Seguridad de la Información eficaz en la empresa debe incluir, como para cualquier otro proceso que se implante en la empresa, las siguientes fases:

- Analizar y establecer el contexto de aplicación de la Seguridad y los riesgos potenciales, en función de las características y necesidades concretas de cada empresa.

- Implantar y operar el sistema adecuado de controles técnicos y organizativos de Seguridad.

- Comprobar que el sistema funciona según los objetivos establecidos, mediante auditorias periódicas.

- Adaptar de forma continua el sistema a las necesidades del negocio, reajustando los controles a las situaciones cambiantes del entorno

En la práctica, cada empresa es diferente y tiene sus propias prioridades. Es recomendable comenzar por implantar un Sistema de Gestión de Seguridad de partida que abarque un número de controles esenciales básicos y personalizados. Estos deben ser de tipo, tanto operativo (documento de Seguridad, medidas técnicas…), como legal (cumplimiento de las leyes vigentes LOPD, LSSICE…).

Debido al enorme auge de las tecnologías de la Información experimentado en los últimos años, existen en la actualidad multitud de soluciones técnicas disponibles para realizar una Gestión de la Seguridad de la Información de forma satisfactoria.

Dada la complejidad y el continuo cambio de la tecnología informática y de comunicaciones, las empresas deben asesorarse técnicamente para buscar las mejores soluciones a sus necesidades, y siempre dentro de sus presupuestos. Asimismo, por su alcance a todos los niveles de la empresa, es preciso implicar a todos los colaboradores internos y externos para lograr el objetivo de la Seguridad.

¿Qué beneficios proporciona la Seguridad de la Información en la empresa?

Los beneficios para la empresa de una correcta gestión de la Seguridad de la Información son claros:

- Contribuye a tener una mejor imagen y confianza ante clientes, proveedores y empleados.

- La conformidad con la legislación vigente evita a la empresa riesgos, esfuerzos y costes innecesarios.

- Incrementa la rentabilidad, debido a un mejor retorno a la inversión de los sistemas de Información y al menor impacto de riesgos internos y externos.

- Aumenta la calidad en los procesos de negocio, lo que permite obtener una mejora continua de la gestión global de la empresa, En definitiva, podemos concluir que todos estos beneficios suponen una nueva ventaja competitiva para la empresa, que contribuyen a la viabilidad de la misma a largo plazo.

Medidas de Seguridad de la Información en la Empresa

Como hemos visto anteriormente, para proteger la Información en la empresa, es necesario implantar un Sistema de Gestión de Seguridad que incluya un conjunto de soluciones o controles básicos de Seguridad. Dichos controles pueden ser de tipo legislativo o de tipo organizativo

Los Controles de tipo Legislativo son aquellos que se basan en requisitos legales y contribuyen al cumplimiento de la legislación vigente por parte de la empresa. Entre ellos, resultan esenciales los siguientes:

- Protección de los datos de carácter personal y de la intimidad de las personas (Ley Orgánica de Protección de Datos –LOPD– y Ley de Servicios de la Sociedad de la Información –LSSI–) Ambas leyes se explican en las Partes II y III del presente informe.

- Protección de los registros esenciales de la empresa evitando su pérdida, destrucción o falsificación, custodiándolos de forma segura (ej. datos contables, bases de datos, registros de transacciones, auditorias, procesos y operaciones, firmas digitales…).

- Protección de la propiedad intelectual regulando los derechos de copia de material protegido, diseños y marcas registradas, propios o de terceros

Los Controles de tipo Organizativo son aquellos que se derivan de buena práctica interna en la empresa en materia de Seguridad. Estos controles se componen habitualmente de una conjunción de procedimientos internos (políticas, normas, funciones, recursos…) y de soluciones técnicas de Seguridad (dispositivos hardware y software).

Entre los primeros, podemos citar como básicos los siguientes:

- Establecer la Política de Seguridad de la Información de la empresa, elaborando el Documento de Seguridad, que contenga la definición, objetivos, alcance y responsabilidades de la Seguridad en la organización.

- Asignación de responsabilidades de Seguridad para la protección de la Información mediante la identificación de los activos y procesos de Seguridad, designación del Responsable de la Seguridad y propietarios de los activos y definición de los niveles de autorización.

- Formación de usuarios propios y externos en los procedimientos de Seguridad y el uso de los controles y recursos existentes para proteger la Información (responsabilidades legales, uso de contraseñas de acceso a los ordenadores, normas de uso de Internet, utilización de software no deseado, copias de Seguridad…)

- Registro de las incidencias de Seguridad mediante un procedimiento de comunicación