soñar
Páginas: 7 (1583 palabras)
Publicado: 30 de abril de 2014
Centro Nacional de Información de la Calidad
SEGURIDAD DE LA INFORMACIÓN
La información es el principal activo de muchas organizaciones por lo que es
necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro
la continuidad del negocio.
En la actualidad, la mayor parte de la información reside en equipos informáticos,
soportes de almacenamiento y redes de datos,encuadrados dentro de lo que se
conoce como sistemas de información. Estos sistemas de información están sujetos a
riesgos e inseguridades internos y externos a la organización.
El objetivo de las organizaciones es disminuir los riesgos sin necesidad de realizar
fuertes inversiones en software y sin contar con una gran estructura de personal. Para
ello es necesario conocer y afrontar los riesgosa los que se somete la información,
contemplar procedimientos adecuados y planificar e implantar controles de seguridad.
Existen varias herramientas para gestionar la seguridad de la información, obligatorias
como la Ley Orgánica de Protección de Datos de Carácter Personal, (LOPD), y
voluntarias como los Sistemas de Gestión de Seguridad de la Información.
LOPD
La Ley Orgánica 15/1999, de13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD), tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor, intimidad y
privacidad personal y familiar.
Su objetivo principal es regular el tratamiento de los datos y ficheros, decarácter
personal, independientemente del soporte en el cual sean tratados, los derechos de
los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.
Todo Responsable, ya sea del Fichero o de Seguridad, debe evaluar qué medidas de
protección debe incorporar para obtener el nivel de seguridad deseado, de acuerdo a
la información que se gestione en su organización. Noobstante, existen medidas que
toda organización está obligada a cumplir.
1
Centro Nacional de Información de la Calidad
El Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007, de 21 de
diciembre) establece tres niveles de seguridad para los ficheros, en función de los
datos contenidos en ellos:
-
Básico: todos los ficheros o tratamiento de datos con carácter personal.
-Medio:
ficheros
con
datos
relativos
a
la
comisión
de
infracciones
administrativas, Hacienda Pública, Servicios financieros, así como los ficheros
sobre solvencia patrimonial y de crédito.
-
Alto: ficheros con datos sobre ideología, religión, creencias, origen racial, salud
o vida sexual, los recabados para fines policiales sin consentimiento del
afectado, yaquellos que contengan datos derivados de actos de violencia de
género.
Además, a la hora del tratamiento de los datos hay que aplicar medidas de seguridad
técnica y organizativas en función del nivel y según establece el reglamento. Sin entrar
a analizar en detalle las implicaciones de cada medida, la idea que subyace en la ley
es la necesidad de implantar en las organizaciones, y en lasociedad, en general, una
cultura compartida de la protección de la información.
Sistema de Gestión de Seguridad de la Información, (SGSI)
Un SGSI, según la definición recogida en la norma UNE-EN ISO 27001, es una parte
del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se
establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar laseguridad de la información. Es decir, a partir de la aplicación de un sistema de
gestión en una organización, se comienza a trabajar de manera más sistemática y
controlada sobre lo que sucede en los sistemas de información y sobre la propia
información que se maneja.
Para establecer y gestionar un SGSI se utiliza el ciclo PDCA (o ciclo de Deming),
propio de los sistemas de gestión de la calidad....
SEGURIDAD DE LA INFORMACIÓN
La información es el principal activo de muchas organizaciones por lo que es
necesario protegerla adecuadamente frente a amenazas que puedan poner en peligro
la continuidad del negocio.
En la actualidad, la mayor parte de la información reside en equipos informáticos,
soportes de almacenamiento y redes de datos,encuadrados dentro de lo que se
conoce como sistemas de información. Estos sistemas de información están sujetos a
riesgos e inseguridades internos y externos a la organización.
El objetivo de las organizaciones es disminuir los riesgos sin necesidad de realizar
fuertes inversiones en software y sin contar con una gran estructura de personal. Para
ello es necesario conocer y afrontar los riesgosa los que se somete la información,
contemplar procedimientos adecuados y planificar e implantar controles de seguridad.
Existen varias herramientas para gestionar la seguridad de la información, obligatorias
como la Ley Orgánica de Protección de Datos de Carácter Personal, (LOPD), y
voluntarias como los Sistemas de Gestión de Seguridad de la Información.
LOPD
La Ley Orgánica 15/1999, de13 de diciembre, de Protección de Datos de Carácter
Personal (LOPD), tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor, intimidad y
privacidad personal y familiar.
Su objetivo principal es regular el tratamiento de los datos y ficheros, decarácter
personal, independientemente del soporte en el cual sean tratados, los derechos de
los ciudadanos sobre ellos y las obligaciones de aquellos que los crean o tratan.
Todo Responsable, ya sea del Fichero o de Seguridad, debe evaluar qué medidas de
protección debe incorporar para obtener el nivel de seguridad deseado, de acuerdo a
la información que se gestione en su organización. Noobstante, existen medidas que
toda organización está obligada a cumplir.
1
Centro Nacional de Información de la Calidad
El Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007, de 21 de
diciembre) establece tres niveles de seguridad para los ficheros, en función de los
datos contenidos en ellos:
-
Básico: todos los ficheros o tratamiento de datos con carácter personal.
-Medio:
ficheros
con
datos
relativos
a
la
comisión
de
infracciones
administrativas, Hacienda Pública, Servicios financieros, así como los ficheros
sobre solvencia patrimonial y de crédito.
-
Alto: ficheros con datos sobre ideología, religión, creencias, origen racial, salud
o vida sexual, los recabados para fines policiales sin consentimiento del
afectado, yaquellos que contengan datos derivados de actos de violencia de
género.
Además, a la hora del tratamiento de los datos hay que aplicar medidas de seguridad
técnica y organizativas en función del nivel y según establece el reglamento. Sin entrar
a analizar en detalle las implicaciones de cada medida, la idea que subyace en la ley
es la necesidad de implantar en las organizaciones, y en lasociedad, en general, una
cultura compartida de la protección de la información.
Sistema de Gestión de Seguridad de la Información, (SGSI)
Un SGSI, según la definición recogida en la norma UNE-EN ISO 27001, es una parte
del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se
establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar laseguridad de la información. Es decir, a partir de la aplicación de un sistema de
gestión en una organización, se comienza a trabajar de manera más sistemática y
controlada sobre lo que sucede en los sistemas de información y sobre la propia
información que se maneja.
Para establecer y gestionar un SGSI se utiliza el ciclo PDCA (o ciclo de Deming),
propio de los sistemas de gestión de la calidad....
Leer documento completo
Regístrate para leer el documento completo.