Los sistemas de información deben estar preparados para prevenir, detectar y reaccionar ante las posibles amenazas. Para hacer frente a estas contra la seguridad se definen una serie de servicios que hacen uso de uno o varios mecanismos de seguridad. Algunos de estos sistemas se concentran en garantizar la inviolabilidad de los datos en la confidencialidad, integridad y disponibilidad del usuario, mientras que otros se orientan a protegerlos del entrono y se concentran en cuestiones de autentificación, no repudio y control de acceso.
Una parte importante de los expertos en cuestiones de seguridad de los datos que circulan por las redes se muestra de acuerdo con la valoración de la seguridad como un valor en alza por parte de las personas en general. Las nuevas necesidades a la que nos somete sociedad de conllevan a la población a buscar los cauces adecuados para cubrir las necesidades de seguridad y mejorar, por tanto, su calidad de vida. Las sociedades modernas, una vez resueltas sus necesidades biológicas, avanzan un escalón en la pirámide de Maslow para dar importancia al valor seguridad. La tecnología de seguridad puede considerarse en continua evolución, ya que su dinámica se basa en la lucha entre aquellos sistemas que deben garantizar la seguridad de los datos, y aquellos otros que tratan de violarla. Por todo ello, nunca podría considerarse una tecnología totalmente madura, pues cualquier sistema de seguridad es quebrantable con el tiempo e información suficientes.
Los expertos definen la seguridad en la información como todas aquellas medidas tecnológicas de normas y procedimientos y de información que aseguran la confidencialidad, integridad y disponibilidad de la información en sus estados de proceso, almacenamiento y transmisión. Sin embargo, el objetivo de las técnicas de seguridad no se centra en la absoluta inviolabilidad de los sistemas sino en garantizar un nivel de dificultad suficientemente alto que obstaculice el asalto a la seguridad de una cierta información. Puede decirse que ese nivel ya se ha alcanzado. El experto en sistemas de seguridad John R. MacCumber expuso en la decimocuarta edición de la National Computer Security Conference un modelo fácil y completo de seguridad de aplicación universal e independiente del entorno, arquitectura y tecnología que gestione nuestra información. El modelo, de tres dimensiones, se convierte en un cubo con 27 celdillas como marco de actuación a partir del cual se puede definir la seguridad de la información.
Desde el punto de vista de los estados de la información las características de ésta en relación con la seguridad son confidencialidad, integridad y disponibilidad. La confidencialidad de la información pretende que una persona acceda sólo a la información que debe conocer y hacer con ella sólo lo que le esté permitido. La confidencialidad significa tener la seguridad de que se ha realizado una completa implantación del control de accesos, según la clasificación de la información realizada en la organización. Integridad se refiere al grado de fiabilidad del contenido, en tanto que se relaciona asimismo con la calidad de información identificada como fiel reflejo del dato que representa la realidad. La definición de integridad debe comprender los términos de exacta, autorizada y completa. La característica que determina la disponibilidad de la información provee a los usuarios autorizados de la información cuando es requerida o necesitada.
A la hora de establecer unas medidas de seguridad para el sistema de información es necesario definir el tipo de medidas a implantar para asegurar las características de la información a través de sus distintos estados. Desde la perspectiva tecnológica es posible definir las medidas tecnológicas como dispositivos físicos o lógicos usados específicamente para asegurar las características de la información a través de los distintos estados. Otra vía de actuación se resume en la adopción de normas y procedimientos de seguridad que han de solucionar de inmediato las carencias en la seguridad de la información, al tiempo que actuan como mecanismo de orientación y guía para la seguridad de las soluciones tecnológicas.
Las compañías se dirigen cada vez más en la dirección de adoptar medidas que mejoren la formación y cultura de los usuarios. Este tipo de medida puede convertirse en el más importante ya que incide directamente en un incremento considerable del nivel de seguridad por parte de todos los componentes de una organización, para seguir por el análisis de las amenazas y vulnerabilidades, y la implantación posterior de todas las normas y procedimientos de seguridad. Todo ello hace que la seguridad de la información se convierta en cultura de la organización. En cualquier caso, la política de seguridad debe establecer los criterios de protección de la información en el ámbito de la organización y servir de guía para la creación de las normas y procedimientos de seguridad, al tiempo que ha de recoger los objetivos estratégicos y directrices de actuación en este ámbito. La política de seguridad debe partir de la base de que la información constituye un activo de la organización, e implementar las medidas para su tratamiento.
La tecnología de seguridad debe incorporar el hardware y software necesarios para proporcionar el soporte adecuados a la arquitectura definida. Se deben identificar los productos y sistemas informáticos existentes en el mercado para proceder a la valoración de sus características en función de los requerimientos y de los criterios de la política de seguridad. El mercado está repleto de multitud de productos dirigidos a garantizar la seguridad informática.
Las labores de auditoria y control representan un elemento básico para el funcionamiento adecuado de los sistemas de seguridad. Cualquier sistema que se implante que no incluya funciones de seguimiento y control está condenado al fracaso en el medio plazo. Por lo tanto, hay que definir las funciones de control que hay que implementar dentro de la estructura de seguridad. Los procedimientos de control serán los ejes fundamentales que soporten el desarrollo de las funciones, en los que se establecerá la periodicidad de aplicación, que dispondrá de herramientas de apoyo que optimicen las tareas asignadas. Uno de los eslabones fundamentales para la implantación de un sistema de seguridad con éxito es la cultura de la organización. La organización debe conocer en sus niveles, cuáles son sus funciones y responsabilidades. Otro aspecto importante que ha de garantizar la seguridad se concentra en la normativa que supone la definición de todo lo que debe existir y ser cumplido para garantizar la seguridad. Tiene que estar formalizada de forma suficiente, de manera que pueda ser transmitida y comunicada a todos los componentes de la organización y agentes relacionados que deban conocerla.
La definición y el diseño de la seguridad de la información requiere un proyecto completo y ordenado que, partiendo de la definición de la política de seguridad, se concrete en la implantación de las normas, procedimientos, herramientas y sistemas informáticos.
Las tecnologías de la Información y Comunicaciones favorecen la distribución y uso de los datos de las organizaciones. Ahora bien, esta ventaja aportada por las tecnologías informáticas puede llegar a ser un inconveniente o incluso una amenaza para el desarrollo de la organización, si no existe un control y discriminación adecuados en el uso de los sistemas y la información que contienen. En este punto se hace necesaria la regulación de la seguridad, que permita cumplir los requisitos internos de seguridad marcados por la organización y los requerimientos externos dictados por la Ley de Protección de Datos, entre otros, que garantizan la finalidad de preservar el honor, la intimidad personal y familiar y el pleno ejercicio de los derechos personales frente a su alteración, pérdida, tratamiento o acceso no autorizado.
