Gobernanza TI: Practicando seguridad informática a través de protecciones computacionales

Gobernanza TI, o Gobierno de Tecnología de la Información, se centra en el rendimiento de los sistemas de Tecnología de la Información (TI) y la gestión de riesgos [1]. La Gobernanza TI gestiona los proyectos de hardware y software, tanto para asegurarse de su completo control, como para mejorar el rendimiento de la empresa. La Gobernanza TI y la seguridad informática son codependientes y vitales para la estabilidad de cualquier empresa. Además, los miembros del equipo TI hoy en día están involucrados y comprometidos con las capas de negocios, finanzas y recursos humanos de la empresa. Por lo tanto, el departamento TI, con frecuencia, depende y, al mismo tiempo, complementa, a diferentes departamentos [1].

Cualquier usuario puede estar expuesto a problemas de seguridad. Conexiones inseguras a internet, hackers, crackers, intrusos, transacciones fraudulentas, robo de identidad, registradores de teclas, malware, spyware, gusanos y virus, son apenas algunos ejemplos de las causas de daño más comunes en sistemas computacionales [3]. Estos problemas se deben a que los programas que usamos a menudo tienen vulnerabilidades y errores de programación [6]. Además, a menudo somos ingenuos y confiados cuando navegamos por la Web; lo más recomendable es saber que siempre está en nuestro poder la posibilidad de minimizar los riesgos de un quebrantamiento de la ciber-seguridad [6].

Sin embargo, existen varias estrategias disponibles que permiten a los usuarios incrementar el nivel de seguridad de sus sistemas a través de técnicas de protección adicional. Por ejemplo, Windows 10 muestra una bandera (similar al Centro de Seguridad, que verifica la configuración de seguridad de Internet adecuada y si el Control de Cuentas de Usuario está activado) en la barra de tareas que alerta sobre problemas de seguridad inminentes. Otras de las ventajas que tiene Windows es que posee un Firewall predeterminado para controlar el tráfico de la red, actualización automática contra nuevas amenazas de seguridad y protección gratuita contra malware y software antivirus a través de MS Essentials, que protege las computadoras contra virus y gusanos [3].

Sin embargo, la disposición de múltiples soluciones y prácticas óptimas para mantener una computadora segura y aumentar su productividad, permitirán administrar información personal con mayor efectividad. Varias estrategias son ofrecidas a continuación:

• Los usuarios solo deben iniciar sesión como Administradores—o Super Usuario en el caso de UNIX—cuando sea absolutamente necesario. Las cuentas estándar limitan el alcance de los hackers cuando logran acceder a sistemas informáticos. Sin olvidar que siempre se debe bloquear la computadoras al terminar la sesión laboral.
• Los usuarios deben ejecutar un análisis antimalware, antispyware y antivirus al menos una vez a la semana y verificar el estado de dichos programas constantemente.
• Los usuarios deben tener cuidado al abrir archivos adjuntos de correo electrónico, por lo que se hace necesario proteger la información personal con cautela, y pensarlo dos veces al momento de hacer clic en hipervínculos (a través del filtro de phishing en MS Edge, o WOT y No Script en Firefox) y solo instalar programas confiables [ 3].
• Los usuarios deben actualizar el sistema constantemente ya que los fabricantes de programas suelen publicar parches contra nuevas amenazas.
• Se deben crear contraseñas seguras y cambiarlas con frecuencia, teniendo en cuenta que la recomendación de activar una “contraseña universal” o, una contraseña fácil de adivinar, siempre será arriesgado para la seguridad de sus sistema operativo [4].
• Se recomienda borrar el historial de navegación y cerrar igualmente el navegador de forma definitiva cuando la sesión es terminada.
• Los usuarios deben asegurarse que la página web que accedan sea de confianza al momento de enviar pagos o información confidencial a través de la Web. Ello puede verificarse cuando el sitio web tenga un protocolo seguro como “https” y use encriptación de datos (por ejemplo, a través de VeriSign SSL).
• Los usuarios deben evitar el intercambio de datos no seguro y las conexiones entre pares con clientes poco confiables o desconocidos.
• Los usuarios deben cifrar y proteger todos los datos confidenciales o sensibles.
• Los usuarios deben realizar un formateo de bajo nivel (usando una herramienta como Kill Disk) para destruir todos los datos antes de deshacerse de sus computadoras o dispositivos de almacenamiento.
• Por último, los usuarios deben realizar una copia de seguridad de los datos y almacenarlos en una ubicación segura en caso de una falla del sistema o corrupción de datos [5]. Además, hacer una copia de seguridad de los datos no es solo una conveniencia, sino también una tarea obligatoria en cualquier empresa. Debe considerarse que la información confidencial se puede violar fácilmente mediante la duplicación de datos. El software Symantec Data Loss Prevention utiliza SSH y asegura la transmisión de datos durante las copias de seguridad periódicas [2].

Referencias
[1] Schneider, L. (2011). “All About IT Governance”.
[2] WordPress. (2011, Mayo 26). “Data Loss Protection - What It Does Not Cover”.