Gestion De La Seguridad De La Informacion
Enviado por nicohagen • 9 de Noviembre de 2014 • 5.708 Palabras (23 Páginas) • 156 Visitas
Gestión de la Seguridad de la Información
At present the proper administration of the information is considered a central hub for business success, so that the loss or malicious use of this could mean anything from a simple suspension of activities until the collapse of an organization. That is why the information security has taken a relevant place for companies, creating Systems Management Information Security or ISMS.
En la actualidad la buena administración de la información se considera un eje central para el éxito empresarial, por lo que la pérdida o uso malicioso de esta podría significar desde una simple paralización de las actividades hasta el derrumbe de una organización. Es por ello que la seguridad de la información a tomado esencial relevancia para las compañías, creándose así Sistemas de Gestión de la Seguridad de la Información o SGSI.
Palabras claves: Información, amenazas, vulnerabilidades, Cid, Riesgo, SGSI.
I. INTRODUCCION
L
a seguridad en la información es como el aparato circulatorio de los seremos humanos pero adaptado a la organización. De manera similar a nuestro cuerpo, la organización debe estar protegida ante cualquier amenaza que pueda poner en peligro su integridad o la de sus activos. En la actualidad podemos ver el gran enfrentamiento que tienen las empresas frente a las inseguridades y riesgos del entorno y las formas que tiene estas para hacer frente a estas situaciones. Es por esto que a continuación daremos a conocer la importancia que tienen los activos de información para las empresas, y las formas en que estas los resguardan mediante estándares a seguir, políticas y controles.
II. CONCEPTOS GENERALES
Para la comprensión de los Sistemas de Gestión de la Seguridad de la Información, es menester establecer previamente un lenguaje común en cuanto a que se entiende por información y seguridad de la información, bajo este contexto.
¿Qué se entiende por “información” y “seguridad de la información”?
• Información
Se entenderá por información, bajo el presente contexto, a la acumulación de datos que posea una organización y que a su vez, tengan algún grado de valor para la misma, sin importar su origen, trasmisión u almacenamiento.
La información hoy toma un rol fundamental para el manejo y la continuidad de los negocios. Es por esto que en la actualidad se comete un error al decir que los activos de una empresa están constituidos solo por sus bienes muebles e inmuebles.
Si bien su valor no se puede reflejar directamente en los Estados Financieros de una compañía, las inversiones que estas realizan para conservar la confidencialidad, disponibilidad e integridad otorgan un panorama del valor que tiene un buen manejo de los datos.
La información es considerada dentro de la empres uno de los activos más valiosos debido a que las inversiones presentes, en la administración de esta conllevaran a la generación de beneficios futuros. La información del mercado, la clientela, proveedores y competencia es muchas veces más relevante para la continuidad del negocio que el simple mantenimiento de un stock positivo.
• Seguridad de la información
La seguridad de la información corresponde a la confidencialidad, integridad y disponibilidad (CID) de la misma frente a las posibles amenazas que van desde desastres naturales hasta el uso malicioso por internos o externo.
Fig. 1 Triada de Seguridad [1]
A continuación daremos una breve descripción sobre Confidencialidad, Integridad y Disponibilidad (CID). Ya que estas propiedades son parte fundamental en el cálculo del riesgo.
• Confidencialidad
Corresponde un conjunto o subconjunto de políticas y procedimientos los cuales impiden que la información sea divulgada o almacenada en algún dispositivo no autorizado. El objetivo de la confidencialidad es dar a conocer la información importante de la empresa solo a aquellas personas que están autorizadas y salvaguardar esta misma de aquellas que no lo están.
• Integridad
Esta propiedad tiene como objetivo mantener la información intacta para que así esta no sufra ninguna modificación por parte de personas no autorizadas. La integridad de la información es una de las propiedades más difícil de garantizar.
• Disponibilidad
Esta propiedad garantiza que la información este disponible en el instante y momento preciso en el que sea requerida por las personas autorizadas o procesos claves que la necesiten.
Antes del cálculo del riesgo es necesario identificar las amenazas y vulnerabilidades.
III. VULNERABILIDADES Y AMENAZAS
Antes de identificar las vulnerabilidades y amenazas es necesario revisar los controles ya existentes en el sistema para de esta forma poder medir la eficiencia de sus labores, si no es así, esto quiere decir que este control es una potencial vulnerabilidad. [2]
• ¿Que son las Vulnerabilidades?
Estas son debilidades en la seguridad de una empresa, relacionadas con los activos de información o mejor dicho debilidades en el sistema, aplicación o infraestructura, las cuales pueden ser explotadas para infringir el sistema de la organización. Estas debilidades no tienen la facultad de causar daño, solo son condiciones las cuales pueden hacer que una amenaza logre afectar a un activo.
Las vulnerabilidades se pueden clasificar como:
• Seguridad de recursos humanos
• Control de acceso
• Seguridad física y ambiental
• Gestión de operaciones y comunicación
• Mantenimiento, desarrollo y adquisición de sistemas de información
Ya identificadas las vulnerabilidades, se debe valuar la posibilidad de que estas sean utilizadas por la amenaza. Para esto se recomienda utilizar una escala de Likert.
Fig. 2 Tabla de Likert [2]
• ¿Que son las Amenazas?
Las amenazas son posibilidades de ocurrencia, las cuales pueden producir daño (ya sea material o no) en los elementos de un sistema. Desde el punto de vista de la organización existen dos tipos de amenazas que pueden afectar a los activos de información de la empresa, una de estas son las originadas en el exterior como por ejemplo las amenazas naturales, humanas maliciosas y no maliciosas y las otras son las amenazas originadas al interior de la organización como por ejemplo las negligencias por parte del personal, o algunos procesos productivos.
Generalmente las
...