El área de la Seguridad Informática protege a las empresas de los delitos informáticos, pérdida de información a causa de virus o software malintencionado, robo de información, que desestabilizan a las organizaciones, ya que su bien más preciado es la información. La Seguridad Informática se divide en dos partes de vital importancia: Seguridad Lógica y Seguridad Física.
Precisamente porque los Sistemas Informáticos comprenden todos los dispositivos y equipos (Hardware) y los sistemas operativos, aplicaciones y Data (Software). La Seguridad Informática física abarca la protección de la información desde el acceso físico de los equipos y dispositivos que procesan los datos y manipulación de dispositivos de almacenamiento, así como todas las medidas físicas que van desde los accesos a los edificios y oficinas, control de cámaras de seguridad, entre otras medidas físicas de acceso y seguridad. Mientras que la Seguridad Informática Lógica trata del acceso de los datos y programas para su uso, a través de la aplicación de medidas electrónicas como, por ejemplo: cuentas de usuario y permisos desde del sistema operativo, protocolos de red, cortafuegos, claves de acceso para routers.
En este artículo, profundizamos sobre la Gestión de la Información utilizando Seguridad Lógica, no tanto por el inminente crecimiento de la ola de ciberataques, sino que a pesar de los avances tecnológicos, los sistemas informáticos que procesan la vital información de la empresa tienen a ser vulnerables a una mala manipulación de los mismos, que conlleva a la pérdida de información, por el bajo rendimiento de los equipos, fallos en su funcionamiento y no estar disponibles cuando más se le necesita.
Cuando se habla de seguridad se cree que solo se debe proteger de ataques y no de fallos que también pueden llevar al fracaso una organización que pierde información o que se paralizan sus procesos. En este sentido, es importante considerar la Seguridad Informática Lógica, ante un corto circuito que dañe la fuente de poder del ordenador o simplemente se apague frecuentemente, por ejemplo, es importante diseñar la medida de seguridad posible para proteger la continuidad de las operaciones y la información ante apagones imprevistos. Los sistemas operativos y programas contienen muchas veces errores ocultos que alteran el procesamiento de información, emitiendo errores como resultado o pérdida de los datos. Estas amenazas pueden ser accidentales e intencionales o deliberadas.
Seguridad Lógica
La Seguridad Lógica está orientada al resguardo del uso del Software dentro de una empresa. Esta protección se refiere a la aplicación de medidas de seguridad que resguarden el sistema informático de accesos no autorizados desde la red o remotos, instalación de programas o actualizaciones no autorizadas ni realizadas por el personal encargado, navegación por páginas no permitidas, que afecten el sistema y la información.
La Seguridad Lógica requiere de medidas de protección bien definidas y llevadas a cabo con rigurosidad, ya que los daños al software son muchas veces silenciosos mientras actúan, no afectan el hardware, pero cuando el daño se acrecienta ya es irremediable salvar algo del software o lo que es peor aún de la Información.
Aquí radica la importancia de aplicar medidas de Seguridad Lógica, porque la vulneración o violación a la Seguridad Informática Lógica es silente pero su alcance puede ser mayor y solucionarlo puede significar un coste elevado para la empresa. Un ejemplo sencillo de explicar, pero mucha no es sencillo de corregir, es la infección de virus por parte de los ordenadores, cuando se infectan, no percibimos su presencia hasta que borra toda la información del disco duro, no daña físicamente el disco o el ordenador en general pero si todo la parte lógica de este sistema informático. Pero este daño trasciende y se pierde de vista el alcance del daño, cuando con una unidad de almacenamiento extraíble se conecta al ordenador infectado, donde igual se infecta del virus y lo contagia a cuanto ordenador pueda conectarse.
El software malicioso que penetra en los sistemas informáticas, muchas veces llegan de forma accidental, pero su origen e intencionalidad es malicioso, ser perjudicial a los sistemas informáticos y desestabilizarlos.
La Seguridad Lógica debe estar atentos para planificar y ejecutar medidas de seguridad que ataquen: Los virus, errores cometidos por el usuario, errores cometidos por los responsables del software, fraude informático, programas no comprobados, accesos no autorizados remotos e internos.
La Seguridad Lógica persigue los siguientes objetivos:
- Controlar los accesos a programas y datos
- Garantizar que los operadores no puedan modificar la información ni los programas que no les competen, sin tener sobre ellos una supervisión exhaustiva.
- Asegurar que cada proceso o procedimiento utilice los activos, recursos y aplicaciones que le corresponda.
- Verificar que la información compartida sea recibida por el receptor autorizado
- Asegurar la integridad de la información
- Garantizar la alternabilidad para en la transmisión de datos desde diferentes puntos de acceso.
- Asegurar medidas de contingencia para la transmisión de datos.
Gestión de la Información: Privacidad, integridad, disponibilidad y confirmación.
Reconociendo la importancia que tiene a información dentro de la empresa, la Seguridad Informática establece cuatro principios que deben regir la gestión de la misma dentro de una organización.
- Privacidad o Confidencialidad: Se refiere al manejo de la Información y de los recursos sólo accesibles para el personal autorizado y competente. En toda organización debe restringirse el acceso a la información prohibida para la mayoría de los empleados de una empresa. De esta manera se protege la información de sus competidores. Este principio busca la no divulgación desautorizada de la información de la empresa.
- Integridad: La finalidad de este principio es mantener sin modificaciones la información, cuando no se ha autorizado. Esto garantiza que la información, aunque sea compartida no se altere y pierda credibilidad.
- Disponibilidad: Se refiere a que el sistema informático se mantenga siempre a punto para ser utilizado, sin problemas de rendimiento o de acceso, para la información y recursos autorizados. La disponibilidad no quiere decir, siempre accesible a todos los niveles de la empresa, si no accesible para quien esté autorizado. Que un sistema tenga disponibilidad, quiere decir que cuenta con la restricción de acceso a la información y recursos según corresponda.
- Confirmación: Es la garantía de que la información compartida fue recibida por el receptor correspondiente. Toda información enviada lleva la firma del emisor, y del receptor quien confirma su recibo. De esta manera se garantiza que la información llegue al personal autorizado para manipularla.
En la actualidad, debido al gran crecimiento de la información compartida remotamente, los sistemas informáticos son más vulnerables a los intrusos presentes en la red. Por lo que la Gestión de la Información a través de la Seguridad Lógica, debe mantener el equilibrio entre estos cuatro principios, que la aplicación de uno no afecte al otro, por ejemplo, no podemos hacer un sistema tan confiable extremando medidas que se obtenga un sistema con poca o ninguna disponibilidad.
Lo que si se debe considerar las necesidades y el sector de la empresa para poder establecer prioridad entre los principios, tal es el caso del Sector Financiero, donde la integridad del sistema predomina sobre los otros 3 principios, por ejemplo, es más importante que un usuario no pueda modificar la información de otro usuario, a que cualquier usuario pueda visualizar la información de otros. Mientras que, en el Sector Militar, es prioridad la Confidencialidad sobre la disponibilidad, integridad y verificación.
La Seguridad Lógica garantiza la aplicación de procedimientos para proteger el acceso a la información a personal no autorizado, como indica una vieja frase trillada en el ámbito de la seguridad informática “todo lo que no está permitido debe estar prohibido”. Garantizando así, una excelente gestión de la Información con Seguridad Lógica y por ende el éxito y rentabilidad de las Organizaciones.