Aspectos clave en la seguridad de las TI

Posted by admin on junio 13, 2007 Leave a comment (0) Go to comments

La seguridad es un término muy amplio, puede abarcar desde tener instalado un simple antivirus hasta tener concienciados a todos los miembros de la dirección de una empresa del riesgo del mal uso de las nuevas tecnologías (esto último lo veo bastante difícil). Al ser un término amplio y a veces, muy difuso, es conveniente tener claros ciertos aspectos que serán claves a la hora de implantar dicha seguridad en una empresa. Empecemos por el principio…

En la gestión de la seguridad influyen tres componentes:

  • Personas
  • Procesos
  • Tecnología

Sin una buena coordinación entre estos tres elementos no es posible una buena gestión de la seguridad de la información.

Las dimensiones de la seguridad podrían ser 5:

  1. Disponibilidad
  2. Integridad
  3. Confidencialidad
  4. Trazabilidad
  5. Autenticación

Dichas dimensiones se ven comprometidas por…amenazas. ¿Cómo podemos mitigar estas amenazas?, haciendo una gestión efectiva de la seguridad. Para ello, el primer paso sería hacer un análisis y gestión de los riesgos que afeceten a nuestra organización y a nuestros procesos de negocio. Ya hablaremos de esto otro día, ya que merece un capítulo aparte. Una vez tenemos claramente identificados nuestros riesgos, amenazas, impacto, etc… conviene establecer controles que mitiguen dicho riesgo.

Los controles podríamos agruparlos de muy diversas maneras, pero esta podría ser una buena clasificación:

  • Controles de negocio: política de seguridad, concienciación, continuidad de negocio, contratación, clasificación de la información, etc…
  • Controles relacionados con el personal: formación, concienciación, buenas prácticas, etc…
  • Controles relacionados con los SI: seguridad física, lógica, etc…
  • Controles relacionados con la revisión del sistema: auditorías, revisiones, etc…

Estos controles los tenemos completamente definidos en la ISO 27001:2005, que trata precisamente sobre la gestión de la seguridad de la información.

¿Qué hacer después de establecer estos controles?, mantener un ciclo contínuo de seguridad, monitorizar todo y ver que lo que hemos hecho realmente está dando los resultados esperados.

La seguridad es un proceso, no un producto (o al menos eso dicen los que saben de esto :)

Seguridad

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>