Fundamentos de Seguridad de Información
Para entrar en Contexto La gran mayoría de las organizaciones, por no decir todas, apoyan su gestión mediante el uso de sistemas de información, bien sea para sus transacciones, transaccion es, su gestión y planeación planeaci ón estratégica. El volumen de información que se genera es cada vez más elevado, y de igual manera, de mayor valía, producto del uso que se le da hoy en día. En tal sentido, no es de extrañar que cada vez sea mayor el número de personas que desea obtener y modificar la información a la cual no tienen acceso para su propio beneficio. Se está entonces en presencia de riesgos de seguridad lógica de la información, tales como:
Robo de información confidencial de información informació n para ser vendida a la competencia.
Por ejemplo, ejemplo, el caso de la
Formula 1 cuando una escudería compró información estratégica a ingenieros inconformes de otra.
Fraude: modificación de la información para intereses personales.
Por ejemplo, transacciones transaccion es bancarias no
autorizadas.
Destrucción Destrucció n de la información por simple ego o malicia.
En muchos de esos casos hemos sido meros espectadores, es decir, leemos la noticia del robo de información, en otras, hemos tenido la mala experiencia de ser víctimas de un fraude bancario. Lo que nos compete aquí entonces es algo diferente, es decir, colocarnos del otro lado de la acera: ser las personas garantes para que otros no
sufran lo que nosotros hemos sufrido o nos hemos enterado.
Información como Recurso Lo primero que debemos que tener claro es la importancia de la información, la cual es un recurso no renovable, si se pierde, no se recupera. La información se debe utilizar como un recurso corporativo que debe ser planificado, gestionado y controlado para que pueda ser más efectivo para la organización. En este orden de ideas, la Información es un recurso esencial para los negocios de una organización y en consecuencia necesita estar protegida adecuadamente. Esto es especialmente importante en el ambiente de los negocios, cada vez más interconectados. Ahora bien ¿por qué la información información es un recurso?, recurso?, acá podríamos decir que mejora la planificación, la investigación y la innovación
tecnológica,
incrementa
la
productividad
y
la
competitividad. Pero, ¿de qué manera?, bajo la pregunta anterior, se puede afirmar que el nivel de la información amplía los límites de racionalidad de las decisiones, motivado a que las decisión será más ajustada a las necesidades, mientras mejor informado esté el agente decisor. Expliquemos lo anterior. Si un gerente está en la disyuntiva si abrir o no una nueva sucursal en otra región del país ¿bajo qué aspectos se basará para tomar la decisión?, ¡en información!, en estudios de mercado, competitividad, estudio de la demanda y oferta del producto en la región, entre otras. Con base a la información que disponga, debería ser más racional (objetiva) la decisión que tome.
En lo que se denomina Era de la Información, ésta es la fuerza motriz de desarrollo. desarrollo. En este sentido, las aplicaciones aplicaciones informáticas informáticas actuales buscan precisamente ello: generar información estratégica; a tal efecto se habla de inteligencia de negocios, minería de datos, entre otros. La diapositiva que sigue resume lo expuesto, en la cual se evidencia
que
las
nuevas
tecnologías
están
creando
nuevas
necesidades, las cuales determinan diferentes maneras tanto de trabajo como de empleados, enmarcados en la Sociedad del Conocimiento.
Gestión de Seguridad de Información (GSI) Si nos planteamos la pregunta ¿qué debemos proteger de un sistema de información?, lo primero que se nos viene a la mente es simple: los datos, o mejor dicho, nuestra base de datos.
Esa
respuesta tiene una verdad digamos a medias, ya que los datos pueden ser violentados si se descuidan otras vías, por ejemplo: la red, obtención de contraseñas, entre otros. A lo largo del curso veremos que hay mucho más. diapositiva:
A objeto de avanzar, veamos la siguiente
La diapositiva anterior no deja lugar a dudas: lo que se busca es la creación de estrategias que permitan minimizar los riesgos que atentan constantemente contra la integridad de la información de determinada organización. Con base a lo anteriormente expuesto, conviene explicar de una manera breve lo que conlleva la Gestión de Riesgos, sin pretender hacer acá un material de ello. Para ello, haremos uso de la siguiente figura, la cual engloba varios aspectos que serán utilizados a lo largo del curso.
Expliquemos Expliquemos un poco. El análisis y gestión de riesgos riesgos comienza comienza por la definición definici ón de objetivos, estrategias y políticas de seguridad Lo primordial es tomar conciencia de la importancia de la seguridad de la información, siendo la base para el resto de las acciones que se van a efectuar.
Se
debe
planificar,
implementar
los
mecanismos
(salvaguardas) que contrarresten los riesgos detectados; de igual manera, se deben llevar registros de seguridad a fin de monitorear y realizar correctivos. Un aspecto de vital importancia es la toma de conciencia de la seguridad. Bajo esta consideración ¿Qué sentido tiene tanto esfuerzo y tiempo si realmente no se cree en lo que se hace?. En tal sentido, la Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y procedimientos en relación a los objetivos propios y de negocio de la organización, con objeto de mantener un nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.
Bajo lo anteriormente anteriormente expuesto se presenta la siguiente figura tomada de www.iso27000.es
En dicha figura, se resume a groso modo lo comentado hasta los actuales momentos; en ella se aprecia que existen riesgos cada vez mayores que aprovechan las vulnerabilidades que atentan con nuestros activos de de información. información.
En este orden de ideas, nuestro nuestro
trabajo consiste en efectuar una gestión efectiva de seguridad de información. información . debe
A tal efecto, nuestro modelo de gestión de seguridad
contemplar
con
procedimientos
adecuados,
una
buena
planificación e implantación de controles de seguridad, basadas en una evaluación de riesgos y una medición de eficiencia de los mismos. Siendo esto el objetivo de nuestro curso.
A objeto de no saturarlos con tanta información, finalizaremos este recurso con la siguiente diapositiva, la cual resume las metas que persigue la Gestión de Seguridad de Información: confidencialidad, disponibilidad e integridad. i ntegridad.
