Confidencialidad

La confidencialidad es garantizar que la información sea accesible solo para aquellos autorizados a tener acceso, independientemente de dónde se almacene la información o cómo se acceda a ella. Cada empleado dentro de una organización tiene la responsabilidad de mantener la confidencialidad de la información que le es confiada para el desempeño de su clicksud trabajo y esta responsabilidad debe ser reforzada a través de la concientización. Un programa de capacitación en concientización debe abordar, como mínimo, los siguientes temas de confidencialidad para garantizar que se imparta un nivel aceptable de conocimiento a los empleados de la organización.

un. Control de acceso

El control de acceso es cualquier mecanismo utilizado para controlar a qué recursos puede acceder un usuario y las tareas que se pueden realizar con los recursos accedidos. Las contraseñas y la biometría son dos métodos de control de acceso que se pueden usar individualmente o en combinación para limitar el acceso a los recursos.

B. contraseñas

Las contraseñas y su custodia son un elemento fundamental de la seguridad del sistema y de la red y son de gran interés para los piratas informáticos. Un intruso en el área física de la organización puede revisar debajo de los teclados y en los cajones para encontrar contraseñas que hayan sido escritas y luego usarlas para obtener acceso a información privada. La protección con contraseña se puede aumentar con medidas de seguridad adicionales, como tarjetas inteligentes y sistemas de identificación biométrica. Los empleados deben recibir instrucciones sobre la creación de contraseñas y el manejo de las mejores prácticas.

C. Biometría

La tecnología biométrica puede identificar a las personas en función de las características físicas de las partes del cuerpo humano. Las principales tecnologías biométricas en uso son el escaneo de retina, el reconocimiento facial, el reconocimiento de voz y el escaneo de huellas dactilares. Un usuario que solicita acceso envía una muestra y se compara con una base de datos para encontrar una coincidencia con los permisos de acceso. La información biométrica es difícil de duplicar y, cuando se usa junto con otros métodos de acceso, como contraseñas y distintivos, crea una muy buena defensa contra el acceso no autorizado a los recursos de la organización.

D. Cifrado

El cifrado es cualquier proceso que convierte datos legibles (texto sin formato) en código secreto (texto cifrado) para evitar la divulgación no autorizada de la información. Se puede utilizar en transacciones por Internet, correo electrónico y redes inalámbricas. Un algoritmo de cifrado es un procedimiento matemático que codifica la información para que sea ilegible para terceros no autorizados. El cifrado se ha convertido en la base para proteger las redes, los sistemas de comunicaciones y las transacciones en línea. Los empleados deben utilizar el cifrado siempre que sea posible para garantizar la seguridad.

mi. Intimidad

La privacidad es la prevención de que la información confidencial o personal sea vista por terceros no autorizados y el control sobre su recopilación, uso y distribución. Los términos privacidad y confidencialidad se pueden usar indistintamente. El mantenimiento de la privacidad es esencial para evitar la divulgación no autorizada que puede conducir al robo de identidad u otros problemas.

F. Ética

Los empleados deben recibir instrucciones claras, a través de una política, sobre lo que la organización considera un comportamiento aceptable y también deben ser informados de los procesos establecidos para la aclaración de inquietudes éticas y para la divulgación de actividades no éticas.

Integridad de los datos

La integridad de los datos se define como salvaguardar la precisión y la integridad de la información y los métodos de procesamiento de cambios intencionales, no autorizados o accidentales. Mantener la integridad de los datos es esencial para la privacidad, seguridad y confiabilidad de los datos comerciales. La integridad de los datos puede verse comprometida por usuarios maliciosos, piratas informáticos, errores de software, infecciones de virus informáticos, fallas de componentes de hardware y errores humanos al ingresar o transferir datos. La mitigación de los riesgos de integridad de los datos puede permitir una recuperación rápida de los datos. Los empleados pueden mitigar el riesgo mediante copias de seguridad periódicas de los datos y el almacenamiento seguro fuera del sitio de los medios de copia de seguridad, las herramientas de supervisión de la integridad y el cifrado.

un. Gestión de la configuración

La gestión de cambios o configuración es un proceso para introducir cambios en un entorno de tecnología de la información. Los cambios en un entorno pueden introducir nuevas vulnerabilidades y, mediante el proceso de administración de la configuración, los cambios se pueden implementar de manera documentada, sistemática, monitoreada y reversible. Los procesos de gestión de configuración formalizados deben ser implementados por las organizaciones y seguidos por los empleados.

B. Auditoría de configuración

La auditoría de configuración implica la verificación de que solo se han realizado cambios aprobados en los sistemas. La auditoría también verifica que los empleados cumplan con los procedimientos de administración de la configuración y que todas las configuraciones estén documentadas. La auditoría para monitorear activamente los sistemas y registrar los cambios para la reconciliación con la documentación de gestión de configuración se puede realizar de forma manual o automatizada con el uso de sistemas especializados.

Disponibilidad

La disponibilidad garantiza que los usuarios autorizados tengan acceso a la información y los activos asociados cuando sea necesario. Esto se puede lograr utilizando planes de copia de seguridad de datos, planes de recuperación ante desastres y planes de continuidad/recuperación del negocio. Los empleados deben recibir capacitación sobre sus responsabilidades en lo que respecta a las copias de seguridad de datos, la recuperación ante desastres y la continuidad del negocio.

un. Plan de respaldo de datos

Las copias de seguridad de datos son una parte esencial de la seguridad de la información y una organización debe poder restaurar los datos en caso de corrupción de datos o falla del hardware. Las copias de seguridad se deben realizar con regularidad y la frecuencia depende de la cantidad de datos que una organización esté dispuesta a perder en caso de pérdida (objetivo de punto de recuperación). Los medios de respaldo deben almacenarse en un lugar seguro, posiblemente fuera del sitio, que no esté expuesto a los mismos peligros que los datos primarios. Las copias de seguridad también deben restaurarse periódicamente a los sistemas de prueba para garantizar que el proceso funcione correctamente y dentro del marco de tiempo especificado (Objetivo de tiempo de recuperación) antes de que realmente surja la necesidad de la copia de seguridad.

B. Plan de Recuperación de Desastres (DRP)

Un DRP es un plan que se utiliza para recuperarse rápidamente después de un desastre con un impacto mínimo para la organización. La planificación de DR debe ser parte de la etapa inicial de implementación de sistemas de TI. Los planes de DR se desarrollan en respuesta a las evaluaciones de riesgos y se diseñan para mitigar esos riesgos. Las evaluaciones de riesgos determinan la frecuencia y el alcance de los desastres potenciales; esto permitirá que una organización decida qué tecnologías implementar para lograr un nivel adecuado de recuperación. Las auditorías clicksud externas pueden ser valiosas para descubrir deficiencias, aunque el DRP de una organización nunca puede probarse por completo hasta que realmente ocurre un desastre.

C. Plan de Continuidad del Negocio o Plan de Reanudación del Negocio

El plan de continuidad comercial (BCP), a veces llamado plan de reanudación comercial (BRP), es una parte esencial de un plan de recuperación ante desastres. Este es un plan que detalla, paso a paso, cómo continuar o reanudar rápidamente el negocio normal después de que ocurra un desastre de manera metódica. El BCP también debe identificar a los empleados responsables de implementar los diversos componentes del plan y estos empleados deben recibir instrucciones claras sobre sus responsabilidades en caso de un desastre. El plan debe revisarse regularmente para garantizar que cualquier cambio en los procesos comerciales se refleje en el BCP.