Servicio de Due Diligence

Páginas

martes, 23 de marzo de 2010

¿Cómo conseguir un adecuado nivel de seguridad y protección de la información en la empresa?

Uno de los mayores desafíos de las empresas actuales (independientemente de su tamaño o sector de actividad) es la implantación de Sistemas de Gestión de Seguridad de la Información (SGSI) que garanticen que el principal activo de cualquier empresa, la información, se encuentre protegida y a salvo de terceros malintencionados.

Las redes de trabajo de las organizaciones, y en consecuencia, la información almacenada en ellas, se están viendo afectadas por amenazas de seguridad, ataques y fraudes informáticos, problemas de sabotajes, virus informáticos así como otro tipo de imprevistos y catástrofes mayores, que muchas veces suponen un gran obstáculo para la continuidad del negocio cuando no se tienen previstas medidas que permitan la recuperación o reparación de la información afectada, es decir, un buen Sistema de Gestión de Seguridad de la Información.

Para la implantación de un Sistema de Gestión de la Seguridad de la Información eficaz en las empresas, es imprescindible la interrelación de varios factores: las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio.

Igualmente, se han desarrollado Normas de Estandarización a nivel internacional para la certificación de Sistemas de Gestión de la Seguridad de la Información (ISO 27001, ISO/IEC 17799, etc...), que permitirán a la empresa, no sólo garantizar que ante eventuales riesgos presentes o futuros tiene implantado un Sistema de Gestión de la Seguridad para la protección de su Información, sino ofrecer una imagen de calidad y solidez a su mercado.

1.¿Cuáles son los Conceptos Básicos de la Seguridad de la Información?

En la Seguridad de la Información hay tres conceptos básicos que coinciden en parte con los conceptos básicos de una normativa más conocida por todos como es la Protección de Datos de Carácter Personal (Guía Práctica de Adaptación a la LOPD): Disponibilidad, Confidencialidad e Integridad.

1.- Disponibilidad. La información es el principal activo de negocio de cualquier compañía (datos personales de clientes, proveedores, etc..., Know How de la compañía, métodos de trabajo, etc...), y como tal, ha de estar disponible a los usuarios autorizados que por razón de su puesto y funciones hallan de acceder a la misma.

2.- Confidencialidad. La información corporativa sólo debe estar accesible al personal autorizado. Será personal autorizado el que por razón de su cargo y funciones deba acceder a la misma; el personal autorizado deberá tener, además, firmado un acuerdo de confidencialidad con la empresa (La importancia de la Protección de la Información Corporativa. Los Pactos o Acuerdos de Confidencialidad). Igualmente, para salvaguardar la confidencialidad, es necesario tener implantadas medidas de seguridad técnicas que eviten el acceso y utilización de la misma por terceros no autorizados.

3.- Integridad. Que la información de la empresa sea y permanezca íntegra, confiable y completa es algo fundamental, por ello es imprescindible contar con medidas de seguridad técnica y organizativa que impidan la pérdida de cualquier clase de información.

2. ¿Cómo conseguir un nivel óptimo de seguridad y protección de la información en la empresa?

Para conseguir un nivel óptimo de protección de la información en la empresa, no basta con instalar un firewall o la contratación de empresas especializadas en seguridad de la información, es necesaria la integración de los distintos factores comentados en el comienzo del presente artículo: las tecnologías de la información, la seguridad de las instalaciones, la formación e información del personal, el know how y los procesos de negocio.

La integración de todos estos factores se consigue a través de un SGSI (Sistema de Gestión de Seguridad de la Información), que deberá incluir un método de evaluación, medidas de protección, proceso de documentación y de revisión.

Las fases de implantación de un completo SGSI son las siguientes:

-PLANIFICAR En esta fase se analizará el entorno de actividad de la compañía, Su dimensionamiento, la información tratada por la misma, las directivas corporativas establecidas y los requisitos legales aplicables a cada compañía. Durante esta etapa la empresa deberá diseñar un procedimiento formal para la continua identificación y evaluación de los riesgos y la selección de los objetivos de control, así como los controles que le permitan gestionar estos riesgos.

-IMPLEMENTAR En esta fase habrá que centrarse en el desarrollo e implementación de un plan efectivo a medio y largo plazo que evite o atenúe los posibles riesgos para la seguridad de la información. En esta fase, se iniciará también la formación e información del personal de la empresa, de forma que se garantice la correcta implementación del SGSI.

-REVISAR (Check) La implantación de un SGSI exige el seguimiento y revisión de los controles y medidas implantadas. Por ello es imprescindible, la realización de auditorías tanto internas como externas que revisen la eficacia y eficiencia del SGSI, y que identifiquen los posibles riesgos, vulnerabilidades y debilidades del sistema.

-ACTUAR La implantación de un SGSI exige actuar, mantener y mejorar constantemente el SGSI. Cuando en la revisión (check) del SGSI se hayan detectado vulnerabilidades, riesgos o debilidades, es necesario llevar a cabo medidas correctoras y preventivas adecuadas, que garanticen en todo momento la seguridad y protección de la información de la empresa.

3. Y de cara al mercado, ¿cómo garantizo que tengo implantado un SGSI que refuerce mi imagen de marca y proteja mi negocio? La certificación.

Existen diversas normas a nivel nacional e internacional que exigen la implantación en las empresas de Sistemas de Seguridad de la Información, entre estas normas podemos encontrar las siguientes:

-Normativa sobre Protección de Datos Nacionales, Comunitarias e Internacionales.

-UNE 71502

-ISO/IEC 17799

-BS 7799

-BS 15000

Fuente: http://www.microsoft.com/business/smb/es-es/legal/seguridad_informacion.mspx

©2010 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad

jueves, 18 de marzo de 2010

6 formas de combatir a los virus informáticos.

Virus informáticos: existen desde hace años y no van a desaparecer. Siguen apareciendo y causando daños importantes; "Gumblar” o “Geno” es el último virus de alto perfil que infecta computadoras.

Este virus es especialmente peligroso, porque consiste en un ataque por etapas. Al infectar una máquina, Gumblar instala una serie de programas malware, incluida una pequeña aplicación capaz de robar credenciales FTP. Puede controlar todo un sitio web y operarlo con libertad.

Gumblar también controla la actividad en línea del usuario infectado y espera a que realice búsquedas en Google. El malware toma los resultados de la búsqueda y los reemplaza con otros enlaces para seguir infectando la computadora con malware. El virus también instala un antivirus falso denominado System Security 2009 y desactiva todo software de seguridad legítimo.

¿Qué se puede hacer para no caer presa de este u otros virus? Éstas son algunas estrategias recomendadas:

1. Instale las actualizaciones de los productos Microsoft®
Usar Microsoft Update con actualizaciones automáticas es una sólida opción –y sencilla de implementar– como primera línea de defensa contra las amenazas a la seguridad. El sitio de Microsoft Update explora la computadora y brinda una lista de actualizaciones adecuadas para el equipo y su configuración.

2. Instale las últimas versiones de Adobe Reader y Flash Player
El virus Gumblar aprovecha las vulnerabilidades de Adobe Reader, Adobe Acrobat y Adobe Shockwave Flash Player para descargar más archivos maliciosos. Al actualizar estos programas, se asegura de tener las versiones más recientes y más seguras.

3. Cree y mantenga contraseñas sólidas
Crear y usar contraseñas sólidas, y cambiarlas con regularidad, es un paso muy importante para proteger las cuentas en línea, los archivos informáticos y la información personal. Lo ideal es que las contraseñas sean largas y empleen todo el teclado, no sólo las letras y los caracteres más comunes.

4. Invierta en protección antivirus y anti software espía de calidad
Si bien no constituyen una garantía del 100%, al usar un programa antivirus completo se reduce muchísimo el riesgo de infectar la máquina. Sin algún tipo de protección, tiene casi garantizado caer presa de virus, software espía y correo no deseado.

5. No haga clic en enlaces o adjuntos desconocidos
Nunca haga clic en enlaces desconocidos incluidos en correos electrónicos ni abra adjuntos enviados por extraños. Incluso fíjese que no haya nada inusual en los enlaces que sí conoce; nombres de dominios con leves alteraciones podrían indicar que el sitio fue tomado.

6. Sólo descargue archivos de sitios confiables
Sólo debería descargar archivos de fuentes confiables y de trayectoria. Nunca descargue nada si no está seguro de qué se trata. Ante la duda, no descargue el archivo en la computadora: descárguelo en una unidad externa o USB y luego revise los archivos con software antivirus.

Windows y Windows Vista son marcas comerciales del grupo de empresas Microsoft.

Fuente: 
http://h30458.www3.hp.com/ar/esa/smb/927418.html?JUMPID=em_TAW_AR_MAR10_ACROSS-BG_758254_HPGL_ESA_927418_1&DIMID=1085171190&DICID=null&MRM=1-4BVUP

miércoles, 17 de marzo de 2010

Administración de la Memoria en los Sistemas Operativos (2º Parte)

Memoria asociativa

La memoria asociativa se basa en el principio de localidad que establece que la mayoría de programas tiende a referenciar un porcentaje reducido de sus páginas durante períodos relativamente largos de tiempo. Con base en este principio se equipa a los computadores de un dispositivo de hardware para asociar las direcciones virtuales con las direcciones reales (físicas) sin tener que recurrir a la tabla de páginas. Este se encuentra en la MMU y consta de un número pequeño de entradas (8, 16, 32 son cantidades típicas), cada una de las cuales tiene la estructura similar a una entrada en una tabla de páginas convencional.

La memoria asociativa funciona de la siguiente forma: cuando se presenta una dirección virtual a la MMU para su traducción, se verifica primero si su número de página virtual se encuentra en la memoria asociativa, al comparar todos los registros que la componen en paralelo. Si se encuentra allí, la dirección del marco de página se selecciona de allí directamente sin ir a la tabla de páginas y se continúa con el proceso de traducción normal.

Cuando el número de página no está en la memoria asociativa, se recurre a la tabla de páginas. Una vez localizada la entrada correspondiente, se extrae una entrada de la memoria asociativa y se reemplaza con el dato determinado en la tabla de páginas. Así, si esta página vuelve a ser referenciada, la segunda vez será encontrada con rapidez. Con esto la proporción de encuentros, es decir, la proporción de referencias a la memoria que pueden ser satisfechas a partir de la memoria asociativa, se incrementa considerablemente, permitiendo una mayor eficiencia en el proceso de traducción de direcciones.

Manejo estático y dinámico de la memoria

Existen dos esquemas en que la memoria puede manejarse: estático y dinámico.

- El concepto de memoria estática asume que las direcciones no cambian. Esto puede ser una ilusión de memoria virtual, o puede ser la disposición física disponible. La asignación estática de memoria puede ser por medio de direcciones absolutas o por medio de direcciones relativas del apuntador de programa (PC) (para permitir la relocalización o la recursividad), pero en cualquier caso, el compilador o el ensamblador generan un conjunto de direcciones que no pueden cambiar durante la vida del programa o el proceso.

- El concepto de memoria dinámica asume que las direcciones pueden cambiar (aunque el cambio por lo general se limita a condiciones posibles predefinidas).

Los dos enfoques dinámicos más comunes son el uso de pilas de cuadros (stack frames) y el uso de apuntadores o manijas (handlers). Las pilas de cuadros se usan principalmente en los datos temporales (como variable de funciones o subrutinas o contadores de iteraciones). Las manijas o apuntadores se usan para tener una referencia de bloques de memoria dinámicamente asignados.

Carga de programas en memoria

El proceso de carga consiste en colocar un programa en memoria para que pueda ser ejecutado. Existen diferentes tipos de cargadores:

- Compile and go: (compile y ejecute). Son los utilizados por los compiladores tipo Turbo (Pascal, C, Prolog, etc.), cuando la compilación se realiza directamente a la memoria. La idea central consiste en que a medida que se va compilando se va escribiendo directamente sobre la memoria el código ejecutable y una vez se termine el proceso, se le da el control al programa compilado para su ejecución.

- Cargadores Absolutos: Existen en sistemas en los que los compiladores generan código absoluto (no relocalizable). De esta forma se obliga a que el programa siempre se deba carga en las mismas posiciones de memoria. Son relativamente simples pero no permiten tener multiprogramación.

- Cargadores Relocalizadores: permiten cargar el programa en cualquier sitio de la memoria. Para que esto sea posible, es necesario contar con algún mecanismo de relocalización.

- Cargadores Dinámicos: Cargan los procedimientos del programa dinámicamente durante su ejecución. Son necesarios en el caso de presentarse recubrimientos.

- Cargadores en memoria virtual: Para cargar un programa en memoria virtual este primero se mueve a una zona de módulos cargables en el espacio auxiliar y creando las correspondientes entradas en la tabla de páginas, las cuales deben quedar con el bit presente/ausente apagado, lo que implica que las páginas aún no están en la memoria real, a pesar de que el programa ya está cargado en la memoria virtual. Este mecanismo recibe el nombre de acoplamientos y también se utiliza para realizar operaciones de E/S.

Overlays

¿Cómo implementar múltiples programas en un sistema operativo usando direcciones absolutas? o en las primeras computadoras, ¿Cómo se implementaba un programa que era más grande que la memoria RAM disponible (especialmente en una época donde los procesadores apenas tenían más de 1k, 2k, o 4k de RAM? La respuesta más fácil eran los sistemas de recubrimientos.

Sistemas de recubrimientos.

La idea básica es que el programa es divido en partes llamadas recubrimientos (overlays).Todos los recubrimientos se mantienen en disco y son intercambiados a la memoria conforme se van necesitando. Un recubrimiento puede comenzar a ejecutarse y al terminar, llamar a otro recubrimiento. El problema con este enfoque era que el programador tendría que dividir manualmente el programa en recubrimientos. La memoria virtual, desarrollada posteriormente, hizo que la computadora hiciera todo el trabajo.

Así, aunque el tamaño combinado del programa, los datos y la pila excediera el tamaño de la memoria física disponible, el SO podría ejecutar el programa. Aquellas partes del programa que estén en uso son almacenadas en memoria principal; el resto en el disco. Por ejemplo, un programa de 16Mb puede ejecutarse en una máquina con 4Mb escogiendo que partes deberían mantenerse en memoria, y cuales en disco. Las piezas del programa eran intercambiadas entre la memoria y el disco como se fuera requiriendo.

Con un sistema de recubrimientos, cada programa o segmento de programa es cargado exactamente en el mismo espacio de memoria. Un manejador de recubrimientos existe en otra área de la memoria y es responsable de intercambiar páginas de recubrimiento (o segmentos de recubrimiento). Cuando un segmento de recubrimiento termina su trabajo o necesita acceder una rutina en otro segmento de recubrimiento, envía una señal al manejador de recubrimiento, la cual intercambia el viejo segmento de programa e intercambia en el próximo segmento de programa.

Relocalización

La relocalización consiste en ajustar las direcciones de un programa al sitio donde fue cargado, para que este pueda ser ejecutado. Este proceso es indispensable para poder tener multiprogramación, puesto que un programa no siempre va a ocupar las mismas posiciones de memoria.

Fuente: "Diseño y Simulación de Sistemas Operativos". EUGENIO JACOBO HERNÁNDEZ VALDELAMAR.


martes, 2 de marzo de 2010

La gestión de la seguridad de la información

La información y las tecnologías a través de las que se crea, maneja y transfiere la información son fundamentales. Pese a esa importancia de la información, la realidad es que no hay un grado de concienciación suficiente en las organizaciones para reconocer la información como un activo fundamental. Ni se crea una necesidad de proteger la seguridad de ese activo hasta que tenemos el problema encima.

¿Cuánto tiempo puede funcionar la organización sin que las personas que trabajan en ella puedan acceder a la información?

¿Está la organización preparada para responder a un incidente de seguridad?

La tendencia generalizada es pensar que nunca va ocurrir un incidente de seguridad de manera accidental porque “ya sería mala suerte que esto se quemara o se inundara” y, sobre todo, porque se tiende a subestimar a los usuarios de los sistemas y de los equipos desde los que se trata la información. No se van a robar datos o no se van a borrar por descuido “porque no saben cómo acceder a ellos”. Así que no se establecen medidas para evitar que pase algo.

A alguien le puede parecer exagerado pero no lo es. No es la primera vez que algún trabajador ha instalado una aplicación de descarga de archivos para bajarse películas o música y está compartiendo, accidentalmente, información confidencial de la organización, a través de la aplicación, que no debería compartirse.

Si no resulta suficiente o convincente el argumento de que, proteger la información asegura la continuidad de mi organización, todavía me queda como razón de peso los motivos legales.

Un incidente de seguridad puede provocar una pérdida de datos que infrinja la normativa de protección de datos, por ejemplo. Ya hemos leído más de una vez, en la prensa, que se roban ordenadores en organizaciones. ¿Estaban protegidos esos ordenadores para que no se pudiera extraer información, entre ella, datos de carácter personal de los mismos?

¿Los responsables de las organizaciones están concienciados y han concienciado al personal que trabaja en las mismas, de que no se pueden utilizar los medios informáticos titularidad de la corporación para descargar contenidos de Internet a través de programas de descargas de archivos que puedan infringir los derechos de propiedad intelectual de terceros.

Cuestiones como esas están dentro de un marco de protección de la seguridad de la información y, en definitiva, si falla la seguridad de la información nos estaremos enfrentando, además de a las pérdidas financieras y costes de recuperación, a daños en la imagen de la organización, a denuncias, litigios y multas, a interrupciones de las operaciones, etc.

Por eso es necesario gestionar de manera adecuada la seguridad de la información. Y ¿en qué consiste esa gestión de la seguridad de la información? Fundamentalmente, en garantizar estas tres dimensiones de la seguridad:

- La disponibilidad de la información: asegurar que los sistemas funcionan y que los servicios no son denegados cuando vayan a ser usados.

- La integridad de la información: garantizar que la información está completa y es correcta. Lo cual implica, entre otras cosas, impedir la manipulación de la misma.

- La confidencialidad de la información: garantizar que la información llegue, únicamente, a las personas autorizadas evitando, además, las fugas y filtraciones de la información y los accesos no autorizados.

Esa seguridad tiene que gestionarse de algún modo. Tienen que crearse procedimientos de seguridad, implantarse y debe realizarse un seguimiento continuado de la efectividad de los procedimientos implantados. Ahí es donde entra el concepto del Sistema de Gestión de la Seguridad de la Información (SGSI).

Un SGSI es una herramienta que sirve para proporcionar mecanismos de protección y salvaguarda de la información y de los sistemas que la tratan y procesan de acuerdo con una serie de normas, políticas y procedimientos definidos por la organización.

Existen una serie de normativas para la gestión de la seguridad de la información; la ISO/IEC 27001:2005 es una norma internacional que proporciona un modelo para crear, implantar, mantener y mejorar un SGSI. Y la ISO/IEC 27002 establece un catálogo de controles de seguridad para garantizar la misma. Esta última es una guía de buenas prácticas.

Es decir, la ISO/IEC 27001 define los procesos de la seguridad de la información, “el cómo” para entendernos, y la ISO/IEC 27002 establece los controles de seguridad, “el qué”.

Podemos decir que dichos controles abarcan tres aspectos: jurídicos, tecnológicos y de gestión.

Los aspectos de gestión que recoge la normativa implican, en primer término, la creación de una serie de documentación para regular y formalizar la seguridad de la información en una organización.

La necesidad de proteger la seguridad de la información tiene que surgir desde la dirección o los órganos de gobierno de la propia organización. La concienciación sobre la necesidad de proteger la información, que debe hacerse extensiva a toda la organización, debe partir desde arriba.

Por eso, desde los órganos de gobierno de la entidad se deben establecer y aprobar una serie de políticas, normativas, procedimientos, instrucciones y normas de uso en las que se documente cómo se gestiona la seguridad de la información en la entidad, con carácter general, y para cada uno de los supuestos específicos que lo precisen.

Esas políticas, en la medida en que les afecte, deben darse a conocer al personal que trata la información.

La labor de formación y concienciación del personal está detrás de todo el proceso de implantación de un SGSI, así como el establecimiento de responsabilidades de las personas que tratan con la información y del modo en que deben hacerlo.

Además es necesario el establecimiento de medidas concretas como puede ser la firma de acuerdos de confidencialidad con el personal que trata la información de la entidad, que reflejen las necesidades de la misma para la protección de la información.

La necesidad de seguridad debe calar en las personas que tratan con la información. Y eso se consigue formándoles y dándoles a conocer las normativas e instrucciones definidas por la entidad para el tratamiento de la información.

Es más, es necesario establecer medidas coactivas para que los usuarios de los sistemas no quebranten la seguridad de los mismos. No debemos olvidar que, en la mayoría de los casos, la seguridad se vulnera desde dentro. Casos de trabajadores que, cuando son despedidos y para perjudicar a la empresa, borran una base de datos, “despistes” en el tratamiento de la información (Se ha podido leer en la presa que, en Reino Unido, apareció en un parking una llave USB con datos de contribuyentes británicos), uso de llaves USB personales en los equipos de la entidad que acaban introduciendo virus en los sistemas. Son casos que suceden con demasiada frecuencia.

Por otro lado, si son terceros los que, para la prestación de servicios a la entidad, tratan información de la misma, deberán suscribirse los correspondientes acuerdos con estos acerca del tratamiento que deben llevar a cabo sobre la información para cubrir los requisitos de seguridad de la misma.

La gestión de la seguridad de la información requiere una evaluación y una auditoría continua para comprobar que la implementación de los controles es efectiva, que las medidas de seguridad son eficaces y, en su caso, ampliarlos o modificar dichos controles.

Asimismo la gestión de la seguridad implica llevar un control de las incidencias que se producen para que se pueda agilizar la reacción ante dicha incidencia con el objetivo de reducir los daños que esta pueda producir, reaccionar de manera coordinada y obtener evidencias que permitan introducir los cambios necesarios para que la incidencia no se vuelva a producir.

Los aspectos tecnológicos para garantizar la seguridad de la información se centran en cuestiones como la seguridad física para proteger los accesos a las instalaciones, oficinas y despachos, así como a los equipos que tratan la información; en la seguridad de las redes; seguridad en los controles de acceso a los sistemas que albergan la información; seguridad de los contenidos; gestión de copias de seguridad, etc.

Y, los aspectos jurídicos, se centran en la adaptación a la normativa que le sea aplicable a la entidad de que se trate. Normativas como la Ley Orgánica de Protección de Datos, la Ley de Propiedad Intelectual, la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos o la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, por ejemplo.

En definitiva, estamos viendo que la seguridad de la información se consigue implementando toda una serie de controles que incluyen políticas, procedimientos, instrucciones, guías, funciones de hardware, funciones de software, etc.

Ahora bien, para seleccionar los controles que propone la ISO/IEC 27001 y saber cuáles son necesarios, es preciso realizar, con carácter previo, un análisis de riesgos para ver qué amenazas afectan a la información de la entidad y a los sistemas que tratan dicha información, y qué impacto puede suponer esa amenaza para las tres dimensiones que mencionábamos antes: la confidencialidad, la integridad y la disponibilidad.

Eliminar de manera absoluta los riesgos para la seguridad que afectan a una organización es básicamente imposible, la organización debe asumir un nivel de riesgo aceptable y, a partir de ahí, gestionarlo con la selección e implantación de los controles que sean necesarios.

La implantación de un sistema de gestión de la seguridad de la información implica un proceso de mantenimiento y mejora continua. Puesto que las circunstancias en la entidad pueden cambiar, por ejemplo, por la adquisición de nuevos equipos o la prestación de nuevos servicios de manera electrónica, los requisitos de seguridad necesarios para la entidad también pueden variar.

Por eso la norma ISO/IEC 27001 establece un modelo basado en un ciclo de vida PLAN, DO, CHECK, ACT. (Planificar, hacer, verificar actuar) que plasma, precisamente, ese proceso de mejora continua.

La propia norma define este ciclo de la siguiente manera:

· Planificar: creación del SGSI. Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información para obtener resultados acordes con las políticas y objetivos generales de la organización.

- Hacer: implementación y operación del SGSI. Implementar y operar la política, controles, procesos y procedimientos del SGSI.

- Verificar: supervisión y revisión del SGSI. Evaluar y, en su caso, medir el rendimiento del proceso e informar de los resultados a la dirección para su revisión.

- Actuar: mantenimiento y mejora del SGSI. Adoptar las medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI, para lograr la mejora continua del SGSI.

La seguridad de la información no se puede dejar al arbitrio de la suerte y del “nunca pasa nada” porque estamos viendo a diario que siempre acaba pasando algo.

En conclusión, la gestión de la seguridad de la información es un proceso de mejora continua que no se puede dar nunca por concluido puesto que las circunstancias cambian y las amenazas que afectan a la información varían también.

Fuente: http://www.microsoft.com/business/smb/es-es/legal/gestion-seguridad.mspx

©2010 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad

Related Posts Plugin for WordPress, Blogger...