• Confidencialidad, que garantiza que la información es accesible exclusivamente a quien está autorizado
• Disponibilidad, que garantiza que los usuarios autorizados tienen acceso a la información y a otros activos de información asociados en el momento que lo requieren Las amenazas pueden ser de los tipos siguientes:
a) Amenazas de fuerza mayor.
b) Fallos de organización.
c) Fallos humanos.
d) Fallos técnicos.
e) Actos malintencionados. Algunas de las amenazas mas frecuentes están relacionadas con el incumplimiento de las medidas de seguridad, como consecuencia de actos negligentes o falta de controles adecuados, originan daños que podrían haber sido evitados o por lo menos minimizados.
¿Cómo se consigue la seguridad de la información?
Implantando un conjunto de salvaguardas mecanismos o
acciones encaminados a reducir los riesgos de seguridad
provocados por las amenazas a los sistemas de información.
Las salvaguardas a implantar se seleccionan teniendo en
cuenta los atributos de la información a proteger
(confidencialidad, integridad y disponibilidad)
.
En la selección de salvaguardas se consideran:
• Las características de las amenazas que atentan
contra la información.
• La vulnerabilidad o probabilidad de materialización de cada amenaza sobre los activos
de información.
• El impacto o daño producido por un posible incidente o agresión sobre un activo, visto
como diferencia en las estimaciones de los estados de seguridad obtenidas antes y
después del evento.
¿Cómo definir los objetivos de seguridad en una empresa u organización?
Los objetivos de seguridad tienen que ser definidos por la organización dependiendo de:
a) La valoración de los riesgos a los que está sometida la probabilidad de que se materialicen y el impacto potencial.
b) Otros requisitos de tipo legal, y por otros requisitos de tipo contractual con sus clientes, contratistas o proveedores de servicios.
c) Por otros principios, objetivos o requisitos relacionados con el proceso de la información gobernado por un proceso de análisis y gestión de riesgos.
Los componentes principales de un Sistema de Seguridad:
• Gestión y organización
• Personal
• Planes de contingencia
• Políticas de respaldo de la información
• Protección a la privacidad de los datos
• Protección antivirus
• Utilización del cifrado de la información
• Tratamiento de incidentes
Componentes
Los componentes más generalizados y recomendables son:
a) Protección antivirus La protección antivirus es hoy día uno de los sistemas más recomendables en cualquier tipo de sistema independiente de su tamaño.
b) Políticas de respaldo de la información Como consecuencia de fallos técnicos, errores de usuario que pueden borrar de forma no deseada datos o por el efecto de algún virus, la información puede quedar borrada o ser alterada.
c) Sistema de cortafuegos La interconexión de gran cantidad de redes de área local implica que cualquier puesto de trabajo podría acceder a cualquier tipo de información existente en cualquier red a no ser que disponga de un dispositivo, cortafuegos, capaz de limitar el acceso a aquellos autorizados.
Otros componentes de posible aplicación podrían ser:
Gestión de la seguridad: Recomendado a medida que los sistemas crecen en complejidad y número de usuarios.
Organización del Sistema de Seguridad: Recomendado a medida que los sistemas se utilizan en organizaciones complejas con bastantes empleados.
Sistema de identificación y autenticación de usuarios: Recomendado cuando los sistemas disponen de varios usuarios con áreas de responsabilidad diferentes.
Sistema de control de acceso: Se quiere limitar a cada uno las funciones del sistema a las que está autorizado.
Personal: Recomendado en organizaciones con gran número de empleados para responsabilizar a cada empleado en sus obligaciones.
Planes de contingencia: Recomendado a medida que los sistemas realizan funciones de tipo crítico que no permiten que una determinada amenaza cause interrupciones en los servicios ofrecidos por la organización.
Protección a la privacidad de los datos: Recomendado en los casos en que la información tratada está catalogada como información afectada a la Ley Orgánica de Protección de Datos de Carácter Personal. (LOPDCP)
Utilización del cifrado de la información: Cuando se desea proteger la información almacenada o transmitida, de forma eficaz contra divulgaciones o modificaciones no deseadas.
Tratamiento de incidentes Conjunto de procedimientos que permiten que cualquier incidente de seguridad de los sistemas de información sea tratado de forma lo más eficaz posible
No hay comentarios:
Publicar un comentario