Informatica

seguridad

Para la administración Pública

normas y estándares

Conceptos Generales

Qué es la seguridad de la información?
La información es un recurso que, como el resto de los importantes activos comerciales, tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin degarantizar la continuidad institucional, minimizar el daño y maximizar el retorno sobre las inversiones y las oportunidades. La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información,o los medios por los

cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. La seguridad de la información se define aquí como la preservación de las siguientes características: a) Confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella. b) Integridad: se salvaguarda la exactitud y totalidad de lainformación y los métodos de procesamiento. c) Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera. La seguridad de la información se logra implementando un conjunto adecuado de controles, que

 Normas y Estándares: Seguridad Informática

abarca políticas, prácticas, procedimientos, estructurasorganizacionales y funciones del software. Se deben establecer estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización.

Por Qué es necesaria la seguridad de la información
La información, los sistemas y las redes que brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la informaciónpueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen institucional. Las organizaciones, sus redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio oinundación. Daños tales como los ataques mediante virus informáticos, “hacking” y denegación de servicio se han vuelto más comunes, ambiciosos y crecientemente sofisticados. La dependencia de las organizaciones respecto de los sistemas y servicios de información denota que ellas son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las redes públicas y privadas y el uso compartidode los recursos de información incrementa la dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control técnico centralizado. Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientosadecuados. La identificación de los controles que deben implementarse requiere una cuidadosa planificación y atención a todos los detalles. La administración de la seguridad de la información, exige, como mínimo, la participación de todos los empleados de la orga-

nización. También puede requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramientoexperto de organizaciones externas. Los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño.

cómo establecer los reQuerimientos de seguridad
Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres recursos principales para lograrlo. El primer...