Compromisos específicos de seguridad

Antes de comenzar a analizar los diferentes aspectos sobre seguridad es importante tener claras una serie de ideas sobre lo que significa y lleva consigo. Existen varias formas de abordar la seguridad de un sistema[Nat94]. Un punto de vista es entenderla como una forma de prevenir futuras pérdidas, una manera de gestionar los riegos relacionados con la tecnología. Otros consideran que es algo necesario para evitar que usuarios maliciosos entren en el sistema. Aparte de las diferencias que puedan existir entre ambas concepciones, podemos encontrar una definición más o menos rigurosa para este concepto dentro de los sistemas de ordenadores[Nat94]:

La seguridad en sistemas de ordenadores es la protección de la integridad, disponibilidad, y si es necesario la confidencialidad de la información y recursos que se usan, para la entrada, almacenamiento, proceso y comunicación de los mismos.

1. No dificultar las labores de los usuarios. El propósito de la seguridad es la protección de recursos considerados importantes dentro de la organización donde el sistema de seguridad está activo. En ocasiones lleva consigo ciertas imposiciones a los usuarios de los recursos. Deben ser siempre aceptables y no ser una carga excesivamente grande.
2. La seguridad es responsabilidad de la gestión de riesgos. Una de las responsabilidades en la gestión de un sistema de ordenadores en una determinada organización es el control del riesgo. De igual forma que a una determinada organización controla el dinero y los empleados, es necesario un control de la información. Tan crítico como los demás, puesto que se depende de ella para alcanzar los objetivos marcados. Se debe conseguir que la información esté disponible, sea correcta y esté completa. En algunos casos se debe restringir también el acceso a determinados datos.
3. Se deben especificar claramente las responsabilidades en seguridad. Para asegurarse que los objetivos de la gestión de seguridad se lleven a cabo, es necesario que se asignen responsabilidades de forma precisa. Los grupos a los que se le asignan estas tareas suelen ser los gestores de seguridad, operadores del sistema, gestores de las aplicaciones, el encargado de la seguridad física, la oficina de recuperación de desastres, los usuario, y los encargados de los informes de supervisión.
4. La seguridad requiere una estructuración clara. La eficiencia de la seguridad precisa que distintos grupos y áreas dentro y fuera de la organización colaboren. La arquitectura o programa de seguridad se suele dividir en bloques que se denominan controles, agrupados en, controles técnicos, de operación y de servicio. Para que la gestión de seguridad sea la óptima hay que conocer esta estructuración y la interacción entre cada uno de ellos.
5. La protección del sistema debe tener un coste soportable. Los costes y los beneficios de la seguridad de nuestro sistema deben ser examinados cuidadosamente, para que el primero no sobrepase al segundo. Hay que tener en cuenta que una inversión en seguridad puede suponer disminuir el número de pérdidas debido a fallos del sistema o por manipulación fraudulenta de los recursos. Los beneficios de la seguridad no son sólo monetarios, evita hackers así como otros elementos hostiles a nuestro sistema, ayudando a ofrecer una buena imagen hacia el público.