Seguridad de Información
Qué
es la seguridad de la información?
La información es un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia una protección adecuada. La seguridad de la información protege a ésta de un amplio rango de amenazas para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.
La información adopta diversas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o por medios electrónicos, mostrada en video o hablada en conversación. Debería protegerse adecuadamente cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.
La seguridad de la información se caracteriza aquí como la preservación de:
a)
Su
confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información
b) Su integridad,
asegurando que la información y sus métodos de proceso son exactos y completos
c) Su
disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
Por
qué es necesaria la seguridad de información?
La información y los procesos que la apoyan,
sistemas y redes son importantes activos de la organización. La disponibilidad,
integridad y confidencialidad de la información pueden ser esenciales para
mantener su competitividad, tesorería, rentabilidad, cumplimiento de la
legalidad e imagen comercial.
Las organizaciones y sus sistemas de información se
enfrentan, cada vez mas, con riesgos e inseguridades procedentes de una amplia
variedad de fuentes, incluyendo fraudes basados en informática, espionaje,
sabotaje, vandalismo, incendios o inundaciones. Ciertas fuentes de daños como
virus informáticos y ataques de intrusión o de negación de servicios se están
volviendo cada vez más comunes, ambiciosos y sofisticados.
Cómo
establecer los requisitos de seguridad?
Es esencial que la organización identifique sus
requisitos de seguridad. Existen tres fuentes principales.
La primera fuente procede de la valoración de los
riesgos de la organización. Con ella se identifican las amenazas a los activos,
se evalúa la vulnerabilidad y la probabilidad de su ocurrencia y se estima su
posible impacto.
La segunda fuente es el conjunto de requisitos
legales, estatutos, regulaciones y contratos que debería satisfacer la
organización, sus socios comerciales, los contratistas y los proveedores de
servicios.
La tercera fuente está formada por los principios,
objetivos y requisitos que forman parte del tratamiento de la información que
la organización ha desarrollado para apoyar sus operaciones.
Evaluación
de los riesgos de seguridad
Los requisitos de seguridad se identifican mediante
una evaluación metódica de los riesgos. El gasto en controles debería
equilibrarse con el posible impacto económico, resultante de los fallos de
seguridad. Las técnicas de evaluación de riesgos pueden aplicarse a toda la
organización, sólo a partes de ella o incluso a sistemas de información
individuales, a componentes específicos de sistemas o a servicios dónde sea
factible, realista y útil.
La evaluación del riesgo es una consideración
sistemática:
b) La probabilidad realista de que ocurra dicho fallo a la luz de las amenazas y vulnerabilidades existentes, así como de los controles implantados.
Los resultados de ésta evaluación ayudarán a
encauzar y determinar una adecuada acción gerencial y las prioridades para
gestionar los riesgos de seguridad de la información, y la implantación de los
controles seleccionados para protegerse contra dichos riesgos. El proceso de
evaluación de riesgos y selección de controles, puede requerir que sea
realizado varias veces para cubrir diferentes partes de la organización o sistemas
de información individuales.
Gracias por visitar mi blog, para alguna consulta dejen sus comentarios yo les hare llegar la informacion que busque ....... me gustaria saber de que temas les gusta para publicarlo
ResponderEliminar