Notes

Seguridad Informática y Cultura Organizacional

Se lee en 4 min

Seguridad Informática y Cultura Organizacional

1. Fundamentos de la seguridad informática

La seguridad informática se encarga de proteger los sistemas de información frente a amenazas internas o externas que puedan afectar:

  • La confidencialidad: garantizar que solo personas autorizadas puedan acceder a la información.
  • La integridad: asegurar que los datos no hayan sido modificados de manera no autorizada.
  • La disponibilidad: asegurar que la información esté accesible cuando se necesite.

Estos son los tres pilares fundamentales de la seguridad.

2. Controles de seguridad en sistemas informáticos

Los sistemas deben contar con medidas técnicas y administrativas que reduzcan los riesgos:

Controles técnicos:

  • Uso de HTTPS y certificados digitales.
  • Cifrado de datos.
  • Firewalls y sistemas de detección de intrusos.
  • Clasificación de la información según su nivel de confidencialidad.

Controles administrativos:

  • Gestión de usuarios y perfiles.
  • Definición de roles y permisos de acceso.
  • Registro de accesos y monitoreo de actividades.

Ejemplo: Un sistema que maneja datos financieros o confidenciales debe garantizar conexiones seguras y controles estrictos de acceso.

3. Contratos con terceros y externalización

En entornos donde se utilizan servicios en la nube o software como servicio (SaaS), es fundamental definir correctamente:

  • ¿Quién es el dueño de los datos?
    La empresa contratante siempre debe mantener la propiedad de su información.

  • ¿Qué pasa si el proveedor falla, cierra o corta el servicio?
    La organización debe tener garantizado el acceso a sus datos, preferentemente mediante backups periódicos y cifrados.

  • Se deben incluir cláusulas específicas en los contratos sobre:

    • Propiedad de los datos.
    • Procedimientos de entrega de información al finalizar el servicio.
    • Medidas de seguridad esperadas.

4. Cultura de seguridad informática

Tener políticas y controles no es suficiente si los usuarios no comprenden ni respetan las buenas prácticas. Por eso, es necesario construir una cultura de seguridad dentro de la organización.

¿Qué implica esta cultura?

  • Concientización sobre riesgos informáticos.
  • Comprensión de las políticas de seguridad.
  • Comportamientos seguros frente a amenazas (phishing, redes inseguras, descargas ilegales).

Estrategias para construir cultura:

  • Cursos y capacitaciones periódicas.
  • Simulaciones de ataques (por ejemplo, correos de phishing de prueba).
  • Comunicación interna clara sobre políticas y procedimientos.

Ejemplo del profesor:
Una empresa prohibía los celulares en zonas críticas, pero tenía claves de cámaras escritas en carteles visibles. Esto revela una política implementada pero sin verdadera conciencia ni cultura de seguridad.

5. Políticas de seguridad informática

Las políticas de seguridad son documentos oficiales que definen:

  • Qué está permitido y qué no.
  • Qué sanciones se aplican ante el incumplimiento.
  • Cómo se gestiona el acceso a sistemas, internet, correo electrónico, etc.

Ejemplos de políticas comunes:

  • Política de uso de internet (no acceder a sitios ilegales o no laborales).
  • Política de uso del correo corporativo.
  • Política de creación y gestión de usuarios.
  • Política de backup y recuperación de información.

Estas políticas deben ser:

  • Aprobadas por la alta dirección para que tengan validez formal.
  • Difundidas y explicadas a todos los empleados.
  • Aplicadas de forma coherente, sin excepciones arbitrarias.

6. Agentes implicados en la seguridad informática

La implementación de una política de seguridad involucra varios actores:

a) Dirección del negocio:

  • Aprueba la política y le da validez.
  • Define los objetivos estratégicos y requisitos legales o normativos.

b) Área de sistemas/informática:

  • Redacta la política técnica y operativa.
  • Administra los sistemas y aplica los controles definidos.
  • Da soporte en la capacitación del personal.

c) Los usuarios:

  • Son parte activa del entorno de seguridad.
  • Deben conocer y respetar las políticas.

7. Seguimiento y cumplimiento de políticas

Contar con políticas no alcanza: es necesario hacer un seguimiento de su cumplimiento.

  • Se deben establecer controles periódicos para verificar que las políticas están funcionando.
  • El incumplimiento debe registrarse y abordarse.
  • El auditor informático tiene la responsabilidad de reportar deficiencias, desviaciones y proponer mejoras.

Vista Gráfica

Retroenlaces