Hoy en día la información (datos) son el activo principal de las empresas y estas, mayoritariamente, son gestionadas a través de dispositivos tecnológicos. A través de ordenadores, móviles de empresa, software que utilizamos, redes, servidores e incluso el servicio en la nube son responsabilidad de la entidad, bien sea un servicio subcontratado, propio o mixto su gestión es fundamental y recae principalmente en el área de informática.
Cada vez más las nuevas tecnologías soportan los sistemas de información de las entidades, las cuales suponen una serie de riesgos que se tienen que intentar prevenir a través de diferentes medidas preventivas, como por ejemplo:
- Sensibilización y capacitación de los empleados.
- Realizar copias de seguridad fiables de toda información relevante.
- Contar con un servidor propio.
- Instalación de un antivirus y antispam.
- Establecer contraseñas robustas y modificarlas periódicamente.
- Análisis de riesgo y creación de un plan de contingencia.
- Mantener el software actualizado.
- Descargas de confianza.
Todas estas medidas se aplicarán para:
La gestión de activos: tienen por objetivo identificar los activos de la organización y definir las responsabilidades de protección sobre estos.
La seguridad de las operaciones: actividades encaminadas a asegurar el correcto funcionamiento de la equipación donde se realiza el tratamiento de la información.
La gestión de los incidentes: para estar preparados en caso de un incidente de seguridad o de resultar afectados por un desastre natural es necesario conocer como tenemos que gestionarlos. En ambos casos se tienen que establecer previamente las responsabilidades y los procedimientos de actuación como medida preventiva para saber cómo actuar en caso de que pasen.
El control de accesos a sistemas y aplicaciones: está formado por los mecanismos para hacer cumplir los criterios que se establezcan para permitir, restringir, monitorizar y proteger el acceso en nuestros servicios, sistemas, redes e información.
No existen soluciones únicas para los varios tipos de amenazas, por lo cual siempre son necesarios varios niveles de seguridad. De este modo, si uno de los niveles de seguridad es franqueado, los otros pueden detener la amenaza.