SGSI

                              SEGURIDAD DE LA INFORMACIÓN.

Sistema de Gestión de la Seguridad de la Información (SGSI). La ISO/IEC 27002 proporciona recomendaciones de las mejores prácticas en la gestión de la seguridad de la información a los responsables de iniciar, implantar y mantener sistemas de gestión de seguridad de la información y, en general, a cualquier interesado. La familia de Normas ISO/IEC 27000 es un conjunto de estándares, en fase de desarrollo la mayoría, que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de organización, pública o privada, con independencia del tamaño de la misma.

El principal objetivo que persigue la seguridad de la información es proteger la confidencialidad, integridad y disponibilidad de la información y los datos, con independencia a la forma en que éstos se puedan obtener. El acrónimo utilizado para hablar de estos parámetros básicos de la seguridad de la información es “CID” en español y “CIA” en inglés

Lo contrario a confidencialidad, integridad y disponibilidad es la revelación, modificación y destrucción de datos e información.

PRINCIPIO DE CONFIDENCIALIDAD.

 A través del cumplimiento de este principio se intenta prevenir la revelación no autorizada, sea intencionada o no, de información en general.

La confidencialidad asegura que sólo las personas autorizadas puedan acceder a la información, este hecho permite impedir la propagación de una información a personas no autorizadas

PRINCIPIO DE INTEGRIDAD.

Para la seguridad de la información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

La integridad de la información asegura que: No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados. No se realizan modificaciones no autorizadas de datos por personal o procesos autorizados. La información interna es consistente en sí misma y respecto a la situación externa real, es decir, los datos son consistentes

 

PRINCIPIO DE DISPONIBILIDAD.

La disponibilidad asegura que el acceso sin interrupciones a los datos o a los recursos de información por personal autorizado, se produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que los sistemas funcionan cuando se les necesita.

RIESGOS DE SEGUIRDAD.

Existen tres fuentes principales de requerimientos de seguridad:

·         La primera de estas fuentes deriva de evaluar los riesgos de la organización tomando en cuenta la estrategia general y los objetivos de la organización. Esto se realiza a través de la evaluación del riesgo, identificando las amenazas para los activos, evaluando la vulnerabilidad, la probabilidad de ocurrencia y calculando el impacto potencial.

·         La Segunda fuente, son los requisitos legales, reguladores, estatutarios y contractuales que tiene que satisfacer una organización, sus socios comerciales, contratistas, proveedores de servicio, y también su ambiente socio cultural.

·         La tercera fuente, está formada por el conjunto particular de principios, objetivos y requerimientos comerciales para el procesamiento de la información que una organización ha desarrollado para sostener sus operaciones.

CONTROLES DE SEGURIDAD.

Se realiza en función de las decisiones organizacionales basadas en el criterio de aceptación del riesgo. Las opciones de tratamiento del riesgo.

El enfoque general para la gestión del riesgo aplicado a la organización. Las previsiones contenidas tanto en las regulaciones y legislaciones nacionales e internacionales relevantes.

Algunos de los controles en este estándar son aplicables a la mayoría de las organizaciones, pudiendo considerarse principios guías para la gestión de la seguridad de la información.

 

FACTORES DE ÉXITO EN LA SEGURIDAD DE LA INFORMACIÓN.

La experiencia se ha encargado de demostrar que, con frecuencia, los siguientes factores son muy importantes a fin de conseguir el éxito en la implementación de la seguridad de la información dentro de una organización:

·         Política, objetivos y actividades para implementar, mantener, monitorear y mejorar la seguridad de información que reflejan los objetivos comerciales.

·         Un enfoque y marco referencial para implementar, mantener, monitorear y mejorar la seguridad de la información que sea consistente de la cultura de la organización.

·         Soporte visible y compromiso de todos los niveles de gestión.

·         Un buen entendimiento de los requerimientos de seguridad de la información, evaluación y gestión del riesgo.

·         Marketing efectivo de seguridad de la información con todos los gerentes, empleados y otras partes para lograr la conciencia sobre el tema.

·         Distribución de lineamientos sobre la política los estándares de seguridad de la información para todos los gerentes, empleados y otras partes involucradas.

·         Provisión para el financiamiento de las actividades de gestión de la seguridad de la información.

·         Proveer el conocimiento, capacitación y educación apropiados.

·         Establecer un proceso de gestión de incidentes de seguridad de la información.

·         Implementar un sistema de medición que se utiliza para la evaluación del desempeño en la gestión de la seguridad de la información y retroalimentación de sugerencias para el mejoramiento.

Es necesario recordar que estos factores de éxito son importantes, pero siempre será más efectivo tener en cuenta los resultados de la evaluación de los riesgos de la seguridad.