Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

La seguridad de los sistemas de información

Anuncio 
126
Ministerio de Defensa
La seguridad de los sistemas
de información
UN EQUILIBRIO ENTRE VALOR Y COSTE CON MÚLTIPLES ACTORES
Lucía
Escapa Castro
SUBDIRECTORA GENERAL
DE SERVICIOS TÉCNICOS Y
TELECOMUNICACIONES
Ministerio de Defensa
L
independencia de la metodología
(económicos, de negocio, etc.) es
empleada, partiendo de una pregunta
responsabilidad de la dirección
básica ¿Cuánto de seguro necesita ser
responder a la pregunta, o sea, decidir
mi sistema?
cuál es el nivel de riesgo asumible por
La respuesta a esa pregunta es
la organización y, en consecuencia,
compleja y exige, como paso previo,
cuáles deben ser las medidas técnicas
un análisis muy detallado de los
y organizativas a adoptar en el Plan de
activos de la organización, sus
Seguridad de la organización. Se trata
vulnerabilidades, las amenazas a que
de que la organización determine cuál
están expuestos, los riesgos y los
es el equilibrio entre el valor de sus
a seguridad de las
activos y el coste de su protección.
organizaciones, en el mundo
actual, es cada vez más y con
una tendencia rápidamente en
aumento, la seguridad de sus
sistemas de información. Sea en el
sector público o en el privado pocas
actividades se llevan a cabo sin el uso
en mayor o menor medida de
sistemas de información y
telecomunicaciones.
La Real Academia de la Lengua
define seguridad como “cualidad de
seguro”, es decir la situación de estar
“libre y exento de todo peligro, daño o
El Plan de Seguridad tiene
que incluir cuáles serán los
procedimientos de revisión
y auditoría que aseguren la
detección de nuevas
amenazas o
vulnerabilidades
Este Plan de Seguridad tiene que
incluir, además, cuáles serán los
procedimientos de revisión y auditoría
que aseguren no sólo su cumplimiento
sino, de modo proactivo, la detección
de nuevas amenazas o vulnerabilidades
ante las que prepararse ampliando o
renovando el Plan de Seguridad.
Al examinar más en detalle cuál es
el alcance del concepto de seguridad
en los sistemas de información hay
tres elementos clave que sobresalen:
la dependencia de las
riesgo”. Al aplicar esta definición al
organizaciones de estos sistemas
campo que nos ocupa el concepto de
requiere asegurar su funcionamiento,
la importancia de los datos
seguridad describe una situación
relativa, que depende de cuál sea el
costes (de todo tipo) asociados a esos
almacenados y gestionados obliga a
riesgo, peligro o daño considerado y
riesgos. Además es preciso determinar
proteger la integridad de y el acceso a
presenta dos caras: una proactiva,
las medidas de seguridad capaces de
los mismos,
ligada a la prevención o protección, a
disminuir los riesgos, sus costes de
la preparación para una situación
implantación y operación, los tiempos
la organización acerca de sus
hipotética y otra reactiva, ligada a la
asociados y las posibles nuevas
características exige velar por un uso
defensa, a la actuación ante un
vulnerabilidades que podrían
correcto de los mismos.
ataque real.
introducir en el sistema…
Por tanto el análisis de la seguridad
Al final de este proceso, con toda
el conocimiento del personal de
Es posible por tanto identificar tres
de los sistemas de información debe
esta información estructurada,
niveles superpuestos de seguridad: la
siempre acometerse, con
categorizada y traducida a indicadores
seguridad de las infraestructuras, o
nº 28 ESPECIAL AGE 2008-2009
127
Ministerio de Defensa
sea el hardware y el software que
soportan la actividad de la
organización; la seguridad de los
datos, que son el núcleo de esa
actividad y la seguridad de las
personas, como usuarios, gestores,
productores o consumidores de las
infraestructuras y los datos.
Estos tres niveles comportan una
multitud de actores implicados en la
seguridad: servidores, enlaces de
comunicaciones, productos de
software, dispositivos de
almacenamiento, dispositivos móviles,
desarrollos a medida, técnicos de
otras empresas, empleados con
diferentes grados de sensibilización...
El Plan de Seguridad tiene que
abordar esos tres niveles y los actores
que intervienen, pero debería hacerlo
“ex ante” y no “ex post”, como suele
ser lo habitual. Es decir nunca debería
acometerse la construcción de un
sistema de información y mucho
Es responsabilidad de la
dirección decidir cuál es el
nivel de riesgo asumible por
la organización
menos un Plan de Sistemas sin un
electrónica entre los componentes del
sistema,
el control del tiempo y medidas
de caducidad de operaciones y
permisos,
la monitorización de elementos
(hw o sw) críticos y reacción
análisis previo que haya permitido
responder a “LA” pregunta y
el uso de métodos de
identificación y autenticación
automática del sistema hacia un
la asignación de un equipo
estado de mayor seguridad,
la definición de medidas de
establecer el Plan de Seguridad
responsable de seguridad del proceso
correspondiente.
de obtención y establecimiento de las
seguridad y control de acceso
métricas de evaluación,
asociadas a los propios datos (cifrado,
Esta aproximación, claramente
proactiva, conlleva un enfoque bastante
distinto de todas las tareas que forman
la inclusión desde el comienzo de
elementos hardware redundantes,
el empleo de técnicas de
la construcción del sistema, para
programación redundante y tolerante
contemplar, entre otros elementos:
a fallos,
llaves software…)
el empleo de simuladores como
herramientas de prueba,
la participación de usuarios con
técnicas y expertos en “hacking”
Es posible que a primera vista el
proceso de obtención de sistemas de
información en este marco de
referencia parezca más costoso o más
largo que en una aproximación
convencional de primero definir el
sistema y después definir su seguridad.
Sin embargo una organización que
adopte este enfoque de manera global
comprobará que el coste total de la
seguridad disminuye y que el
mantenimiento del nivel de seguridad
de sus sistemas de información resulta
un proceso mucho más predecible,
organizado e integrado en el ciclo de
vida de los propios sistemas.
nº 28 ESPECIAL AGE 2008-2009
Documentos relacionados
PRESENTACION JORGE MELENDEZ Haciendo un balance de la
PRESENTACION JORGE MELENDEZ Haciendo un balance de la
Documentos_files/Lista de Chequeo
Documentos_files/Lista de Chequeo
INTRODUCCIÓN A partir de la década de los noventa, después de
INTRODUCCIÓN A partir de la década de los noventa, después de
Seguridad. Diferencia entre Seguridad Pública y Seguridad
Seguridad. Diferencia entre Seguridad Pública y Seguridad
seguridad informatica vs informacion
seguridad informatica vs informacion
23 antropogénicos y no pueden existir sin el concurso de ambos
23 antropogénicos y no pueden existir sin el concurso de ambos
Tema 3. Análisis de riesgo
Tema 3. Análisis de riesgo
preguntas de los ciudadanos y organizaciones al pleno
preguntas de los ciudadanos y organizaciones al pleno
AMENAZA Jonathan Cayo
AMENAZA Jonathan Cayo
gestión de riesgos
gestión de riesgos
SEgUridAd FíSicA, prEvEnción y dEtEcción
SEgUridAd FíSicA, prEvEnción y dEtEcción
laboratorio, modulo 16
laboratorio, modulo 16
Blue Team Seguridad 1
Blue Team Seguridad 1
RD3 GR1 INTRODUCCION Y OBJETIVOS A LA SEGURIDAD INFORMATICA
RD3 GR1 INTRODUCCION Y OBJETIVOS A LA SEGURIDAD INFORMATICA
El Profesionalismo en Seguridad
El Profesionalismo en Seguridad
4presentacionForodeSeguridadSectorTelcosJahir
4presentacionForodeSeguridadSectorTelcosJahir
Curso de preparacion para el CySA
Curso de preparacion para el CySA
Capítulo 5. Gestión del Riesgo
Capítulo 5. Gestión del Riesgo
FUNDAMENTOS DE CIBERSEGURIDAD
FUNDAMENTOS DE CIBERSEGURIDAD
Pruebas de software
Pruebas de software
DPSS U2 A1 DPR
DPSS U2 A1 DPR
InteliCorp Líderes en Seguridad de la Información, Informática y
InteliCorp Líderes en Seguridad de la Información, Informática y
Descargar
Anuncio
Anuncio