Salvaguardas y medidas de seguridad.

En la clase del viernes vimos lo que son los activos de información que componen una organización y cómo estas los protegen. Es un tema bastante interesante, por lo que nos ocupó prácticamente toda la hora. En resumen, lo que vimos fue:

ACTIVO 

Un activo es todo aquello que  tiene valor para una organización y se deba proteger.

Activos de información: una base de datos guarda información sobre distintas entidades y es un activo de información que requiere medidas de seguridad. También lo es un documento en word

Activo físico: cables, mesas, ordenadores...

Activos de servicios: venta online, sistemas informáticos de sanidad

Activos humanos: profesores de universidad, alumnos, vigilantes de seguridad, personal de servicio

La empresa debe controlar a sus empleados porque muchas veces son ellos mismos quienes la atacan. Cuando esto ocurre se les denomina "insiders" Se debe tener especial cuidado al dar de alta o de baja a los empleados. Se les debe dar una mínima formación en seguridad a cualquier nuevo miembro de la organización. Otra de las debilidades de las empresas es el control en la adquisición de productos y en la relación con los proveedores, cuando un empleado se incorpora a una empresa suele firmar un contrato de confidencialidad, según los cuales se compromete a no utilizar cierta información de la empresa

MEDIDAS DE SEGURIDAD.

Perímetro de seguridad: la infraestructura de ordenadores de una empresa sigue un esquema a nivel físico de perímetro de seguridad

Control de acceso físico: llaves, soldaduras del PC a una mesa, personal de vigilancia.

Control de sistemas de protección eléctrica: se suelen implementar "sistemas de alimentación ininterrumpida" (SAI o UPS)

Control de emisiones electromagnéticas: analizando el tráfico de la corriente eléctrica se puede  controlar lo que ocurre en un ordenador. Es usado por servicios de inteligencia tales como la CIA o el CNI. Esta técnica se denomina TEMPEST.

Copia de seguridad: La información se guarda en otros dispositivos. Las empresas deben tener una política de seguridad.

Se otorga, además, una especial protección a los datos y documentos sensibles, de ciertos datos personales (salud, etc)