10 likes | 122 Views
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma inmediata, íntegra, confidencial, trazable y auténtica. CONCLUSIONES. LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.
E N D
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma inmediata, íntegra, confidencial, trazable y auténtica. CONCLUSIONES LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN XV CONGRESO AECA Valladolid 23 -25 Septiembre 2009 Aurelio Herrero Blasco1 1aurelio.herrero@doe.upv.es, Departamento de Organización de Empresas, Universidad Politécnica de Valencia Palabras clave: Seguridad de la información. Gestión de la seguridad de la información. Políticas de seguridad de la organización. Auditoria de sistemas de gestión de la seguridad de la información. INTRODUCCIÓN La seguridad de la información es imprescindible para el éxito de la actividad empresarial. Los sistemas de información evolucionan muy rápidamente, aumenta su capacidad de gestión y también aumenta su capacidad de almacenamiento. Pero a la vez, también han ido aumentando las nuevas amenazas y vulnerabilidades para las organizaciones. LA NECESIDAD DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN ¿CÓMO DEFINIR SEGURIDAD DE LA INFORMACIÓN? Para PAREDES-GRANADOS, G (2006), La seguridad de la Información es un “conjunto de reglas, planes y acciones que permiten asegurar la información manteniendo las propiedades de confidencialidad, integridad y disponibilidad de la misma.” Cuando hablamos de seguridad de los sistemas de información estamos hablando de la seguridad informática. ¿CÓMO DEFINIR LA SEGURIDAD INFORMÁTICA? Según RAMIO-AGUIRRE, J (2006), podemos definir la seguridad informática como “un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el que además participan personas. Concienciarnos de su importancia en el proceso será crítico”. Según PAREDES-GRANADOS, G (2006), la seguridad informática es el “conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad y la disponibilidad de los recursos de un sistema”. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. • La necesidad de seguridad afecta a todas las formas de información y sus soportes, y a cualquier método usado para transmitir conocimientos, datos e ideas. • El propósito de la seguridad de los sistemas de información consiste en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas. • Así mismo intenta minimizar, tanto el coste global de la ejecución de dichos procesos, como las pérdidas de los recursos asignados a su funcionamiento. • En general las amenazas más frecuentas no van a ser la de los famosos hackers que roban secretos de las empresas, es poco frecuente; sino que el peligro van a provenir de: • accesos no autorizados a la información, • pérdida de datos por negligencia o por virus, etc., serán las verdaderas amenazas para la seguridad de la información . • Para poder gestionar la seguridad de la información, responderemos a estas cuestiones: • ¿Qué características de la seguridad debemos establecer para gestionar adecuadamente la seguridad de la información? • Disponibilidad, integridad, confidencialidad, autenticidad de los usuarios, autenticidad del origen de los datos, trazabilidad del servicio, trazabilidad de los datos, serán las claves. • ¿De dónde provienen las amenazas y en qué consisten esas amenazas? • Las amenazas del entorno y del propio sistema de información, van a ser analizadas. • Posteriormente analizaremos los distintos niveles de seguridad: • Seguridad Física, Seguridad Lógica y Seguridad Organizacional. • Estableceremos los procedimientos que debemos seguir para reducir el riesgo de amenazas al sistema de información. • Analizaremos las debilidades del sistema. • Clasificaremos los tipos de amenazas del sistema; actuaremos sobre ellas. REFERENCIAS Paredes-Granados, G (2006) .Introducción a la Criptografía. Revista Digital Universitaria. Número 7 Volumen / de 10 de junio de 2006 DGSCA-UNAM Ramió-Aguirre, J (2006). Libro electrónico de seguridad informática y criptografía. Universidad Politécnica de Madrid. Madrid. Valverde, JR (2009). Definición de una política de seguridad. EMBnet/CBN. http://rediris.es/cert/doc/docu_rediris/poliseg.es,html Documento en línea, consulta [06.01.2009]. La gestión de la seguridad de la información debe atender a un objetivo: reducir el nivel de riesgo al que la organización se encuentra expuesta. Procedimiento que debemos seguir para poder reducir el riesgo de amenazas al sistema de información. Analizar los principales activos de información involucrados en los procesos de negocio y determinar su valor para la organización. Identificar las amenazas potenciales que pueden afectar a cada uno de estos activos inventariados. Estimar el impacto o daño que nos produciría cualquier incidente, tanto en coste directo: pérdida de producción, como en coste indirecto: sanciones, daños a la imagen, etc. Valorar el riesgo de los activos de la organización. Todo esto debe documentarse y concretarse en un Plan director de seguridad de los sistemas de información y podemos tomar como referencia la norma UNE ISO/IEC 17799 “Código de buenas prácticas en materia de seguridad de la información”