La seguridad de un sistema real nunca será completa, pero el uso de buenas políticas de seguridad es imprescindible paro evitar y minimizar los daños. El objetivo final de la seguridad es proteger lo que la empresa posee. Todo aquello que es propiedad de la empresa se denomina activo. Un activo es tanto el mobiliario de la oficina (sillas, mesas, estanterías), como los equipos informáticos (servidores, ordenadores de escritorio, impresoras), como los datos que se manejan (datos de clientes, facturas, personal). Cualquier daño que se produzca sobre estos activos tendrá un impacto en la empresa.
Los pasos a seguir para mejorar la seguridad son los siguientes:
• Identificar los activos, es decir, los elementos que la empresa quiere proteger.
• Formación de los trabajadores de las empresas en cuanto a materias de seguridad.
• Concienciación de la importancia de la seguridad informática para los trabajadores de la empresa.
• Evaluar los riesgos, considerando el impacto que pueden tener los daños que se produzcan sobre los activos y las vulnerabilidades del sistema.
• Diseñar el plan de actuación, que debe incluir:
a) Las medidas que traten de minimizar el impacto de los daños ya producidos. Es lo que hemos estudiado referido a la seguridad pasiva.
b) Las medidos que traten de prevenir los daños minimizando la existencia de vulnerabilidades. Se trata de la seguridad activa.
• Revisar periódicamente las medidas de seguridad adoptadas.