Por lo general, el valor de los equipos físicos es mucho menor que el valor de los datos que contienen. La obtención de datos confidenciales por parte de delincuentes o de la competencia de una compañía puede tener consecuencias muy costosas. Una pérdida de esta índole puede tener como consecuencia la pérdida de la confianza en la compañía y el despido de los técnicos informáticos a cargo de la seguridad informática. Para proteger los datos, se pueden implementar varios métodos de protección de seguridad.
Una organización debe esforzarse por lograr la protección de seguridad más eficaz y accesible contra la pérdida de datos y el daño al software y los equipos. Los técnicos de red y la gerencia de la organización deben trabajar juntos para desarrollar una política de seguridad que asegure la protección de los datos y los equipos contra toda amenaza de seguridad. Al desarrollar una política de esta clase, la gerencia debe calcular el costo de la pérdida de datos en comparación con los gastos de protección de seguridad y determinar qué nivel de equilibrio resulta aceptable. Una política de seguridad incluye una declaración exhaustiva acerca del nivel de seguridad requerido y sobre cómo se logrará dicha seguridad.
Es posible que participe en el desarrollo de la política de seguridad para un cliente o una organización. Al crear una política de seguridad, formule las siguientes preguntas para determinar los factores de seguridad:
- ¿La PC se encuentra en un hogar o en una empresa? Las PC domésticas son vulnerables a intrusiones inalámbricas. Las PC comerciales tienen un alto riesgo de intrusiones en la red, debido a que las empresas atraen más a los piratas informáticos y a que los usuarios legítimos pueden hacer mal uso de los privilegios de acceso.
- ¿Cuenta con acceso a Internet en todo momento? Cuanto más tiempo una PC esté conectada a Internet, mayor es la posibilidad de ataques. Toda PC que acceda a Internet debe usar un firewall y un software antivirus.
- ¿La PC es una computadora portátil? Con las computadoras portátiles, la seguridad física es un problema. Existen medidas para proteger las computadoras portátiles, como el uso de cables de seguridad, la biometría y las técnicas de seguimiento.
Las siguientes son algunas áreas clave que se deben tratar al crear una política de seguridad:
- El proceso para manejar los incidentes de seguridad de una red.
- El proceso para auditar la seguridad de red existente.
- El marco de seguridad general para la implementación de la seguridad de la red.
- Las conductas permitidas.
- Las conductas prohibidas.
- Qué se debe registrar y cómo almacenar los registros: Visor de eventos, archivos de registro del sistema o archivos de registro de seguridad.
- Acceso de red a los recursos mediante permisos de cuentas.
- Tecnologías de autenticación para acceder a los datos: nombres de usuario, contraseñas, biometría y tarjetas inteligentes.
La política de seguridad también debe proporcionar información detallada sobre los siguientes asuntos en caso de emergencia:
- Los pasos que se deben seguir después de una infracción de seguridad.
- A quién se debe contactar en caso de emergencia.
- Qué información se debe compartir con los clientes, los proveedores y los medios de comunicación.
- Las ubicaciones secundarias que se pueden utilizar en una evacuación.
- Los pasos que se deben seguir una vez que finalizó la emergencia, incluida la prioridad de restauración de servicios.
Se debe describir con claridad el alcance de la política y las consecuencias del incumplimiento. Las políticas de seguridad se deben revisar con regularidad y se deben actualizar según sea necesario. Mantenga un historial de revisión para tener un seguimiento de todos los cambios en la política. La seguridad es responsabilidad de todas las personas que integran la compañía. Se debe capacitar a todos los empleados, incluidos los que no utilicen PC, para que comprendan la política de seguridad, y se les debe informar sobre todas las actualizaciones que se realicen en dicha política.
En una política de seguridad, también se debe definir el acceso de los empleados a los datos. Dicha política debe proteger los datos sumamente confidenciales del acceso público y, a la vez, asegurar que los empleados puedan realizar sus tareas. Los datos se pueden clasificar desde públicos hasta de máxima confidencialidad, con varios niveles distintos entre ambas clasificaciones. La información pública puede ser vista por cualquier persona y no tiene requisitos de seguridad. La información pública no se puede utilizar con fines maliciosos para dañar a una compañía o a una persona. La información de máxima confidencialidad es la que requiere más seguridad, ya que la exposición de esos datos puede ser sumamente perjudicial para un gobierno, una compañía o una persona.