Debemos tener en cuenta que al igual que es imposible garantizar una seguridad absoluta en un banco, también lo es en un sistema informático, pero con un correcto sistema de seguridad se puede reducir la vulnerabilidad al mínimo. Cuanto más robusto y completo sea el sistema de seguridad menor será estadísticamente el peligro de fallo; esto exige un completo análisis de todos los posibles factores de riesgo y una actuación constante que garantice su neutralización.

Ofrecer una política común de seguridad para cualquier empresa, es poco menos que imposible, puesto que en cada caso contamos con infraestructuras y necesidades diferentes. Pero hay un gran número de problemas comunes, que afectan a la práctica totalidad de empresas. Lo primero a tener en cuenta son los principales factores de riesgo; en este aspecto se observa que según la importancia y notoriedad de la empresa, los riesgos varían y así como los virus informáticos y la pérdida de datos por fallos técnicos o humanos son una amenaza común, los ataques de «hackers» o piratas informáticos son mucho más habituales en grandes empresas, ya que habitualmente el móvil para estos ataques es la búsqueda de fama, y son de escasa incidencia en pequeñas y medianas empresas. Un aspecto común en las citadas amenazas es la importancia de Internet, puesto que es el principal medio de entrada de virus y la vía más habitual a la hora de sufrir ataques.

La seguridad no es gratis, supone un coste para cualquier empresa, pero el activo a proteger: la información, tiene cada día un mayor valor, lo que motiva el constante crecimiento de la inversión en materia de seguridad. Se puede pensar que implantar una defensa puede justificarse si cuesta menos que el impacto del que protege. Pero no siempre es así, también se deben valorar los costes intangibles que muchas veces no se tienen en cuenta, como la interrupción del trabajo provocada por la inactividad de los servidores, el tiempo del personal dedicado a su recuperación o los efectos negativos en la imagen de la empresa entre otros. Un claro ejemplo en cifras son los 14.540 millones de euros (2,42 billones de pesetas) de pérdidas económicas producidas por los virus informáticos durante el año 2001, que por si solos justifican claramente la inversión en software antivirus.

A la hora de implantar un sistema de seguridad se deben tener en cuenta cuatro fases consecutivas relacionadas con:

• La Identificación de las posibles amenazas, haciendo especial hincapié en las de mayor riesgo y mayor impacto.
• Las defensas o medidas de prevención necesarias para reducir al mínimo los posibles incidentes de seguridad.
• Los medios disponibles para la detección de posibles indicios de fallo en el sistema de seguridad.
• Los recursos de recuperación y acciones de contingencia que permitirán minimizar los trastornos y las repercusiones económicas en caso de incidentes de seguridad.

Centrándonos en las defensas y los recursos de recuperación, podemos distinguir dos vertientes bien diferenciadas en lo relativo a seguridad informática: la seguridad activa y la seguridad pasiva.

La seguridad activa comprende el conjunto de defensas o medidas cuyo objetivo es evitar o reducir los riesgos que amenazan al sistema. También pueden denominarse medidas de prevención. La seguridad pasiva en cambio, está formada por las medidas que se implantan para, una vez producido el incidente de seguridad, minimizar su repercusión y facilitar la recuperación. Este tipo de seguridad no está dirigida a anular o reducir el riesgo del incidente, sólo intenta paliar sus consecuencias o corregir los daños ocasionados. También se conocen estas defensas como medidas de corrección.

Un buen ejemplo para ayudar a la comprensión lo tenemos en un automóvil. Por una parte contamos con medidas de seguridad que nos ayudarán a evitar un posible accidente, como los frenos ABS o los sistemas de control de la estabilidad, pero si todo esto falla y el accidente se produce, existen otra serie de medidas de seguridad que permiten reducir sus consecuencias, como el airbag o los cinturones de seguridad.