Belt Analistas de
Prevención y Protección

- Menú -

HOME

Noticias...
Se busca...
Eventos...
Legislación...
Bibliografía...
Artículos...

> MAPA del WEB <

Su opinión...

Envíenos la noticia o el comentario que desee.

 

 

Artículos Profesionales


Seguridad de la Información y Protección de Datos.

Articulo Ignacio Bruna López-Polín. BELT IBERICA S.A. 09/01/2004

Ignacio Bruna López-Polín
Licenciado en Derecho. Especialista en Derecho de las Nuevas Tecnologías. BELT IBERICA S.A


Uno de los factores más importantes para proteger los activos de información de una organización es establecer una administración efectiva de la seguridad de la información. Amenazas como los virus informáticos, los ataques de hackers, el robo de números de tarjetas de crédito a través de Internet, el espionaje, o las inundaciones han aumentado la necesidad de administrar la seguridad de la información.

Se produce una situación paradójica pues mientras que los sistemas de información de las organizaciones se enfrentan cada vez con más riesgos y amenazas provenientes de una amplia variedad de fuentes, tanto lógicas como físicas, la dependencia de los sistemas de información es mayor, por lo que las organizaciones se vuelven más vulnerables.



Sin embargo, antes de adentrarnos en cómo administrar la seguridad de la información de manera eficiente es necesario explicar en que consiste la seguridad de la información.

¿Qué es la Seguridad de la Información?

La información es un activo que, como otros activos importantes del negocio, tiene un gran valor para las organizaciones, y, en consecuencia, requiere una protección adecuada. La seguridad de la información protege a ésta de un amplio abanico de amenazas para asegurar la continuidad del negocio.



Y es que, para mantener la competitividad, satisfacer los requerimientos básicos del negocio, el cumplimiento de la legalidad y la imagen comercial, las organizaciones deben asegurar respecto de la información almacenada en los sistemas de información, los siguientes aspectos:

• La confidencialidad, asegurando que sólo quienes estén autorizados pueden acceder a la información.

• La integridad, asegurando que la información permanece exacta y completa.

• La disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información cuando lo requieran.

• Que se ajusten a las leyes y regulaciones aplicables.


Normas y regulaciones

La Organización Internacional para la Estandarización (ISO) en mayo de 1999 publicó la norma ISO 17799 como un conjunto integral de controles que abarcan las mejores prácticas para la administración de la seguridad de la información.

A nivel nacional se ha elaborado el Código de Buenas Prácticas para la Gestión de la Seguridad de la Información, de noviembre de 2002, norma idéntica a la norma internacional ISO/IEC 17799:2000. Esta norma ofrece recomendaciones para gestionar la seguridad de la información, recomendaciones que pueden utilizarse por los responsables de iniciar, implantar o mantener la seguridad en una organización.



Asimismo, en muchos países la legislación relativa a las tecnologías de la información se está volviendo más prolífica, promulgándose leyes sobre propiedad intelectual o derechos de autor, datos personales, comercio electrónico, Internet, firma electrónica, delitos informáticos etc.

Así, a nivel comunitario se han dictado, por ejemplo, las siguientes directivas:

• Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

• Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la Sociedad de la Información, en particular el comercio electrónico en el Mercado Interior.

• Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.

• Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).

• Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información.

• Directiva 91/250/CE del Consejo, de 14 de mayo de 1991, sobre la protección jurídica de los programas de ordenador.

Por su parte, con la finalidad de trasponer las directivas comunitarias, en España se han publicado en los últimos años leyes tan relevantes como:

• La Ley 34/2002, de 11 de Julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico.

• La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

• El Real Decreto 1/1996 de 12 de abril, por el que se aprueba el Texto Refundido de la Ley de Propiedad Intelectual.

En particular, requiere especial atención el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Este Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujeto a la legislación sobre protección de datos.

Estas presiones legislativas, junto con las comerciales y competitivas, propias de una economía de mercado, requieren la implementación de políticas de seguridad adecuadas y controles de acceso lógico a la información corporativa.

Políticas, procedimientos y planes.

Los fallos de seguridad pueden costarle muy caros a una empresa. Un conjunto bien definido de políticas y procedimientos de seguridad ayudará a prevenir fallos y ahorrar costes.

Un elemento esencial para la administración de la seguridad de la información, es decir, para que la seguridad sea implementada y mantenida con éxito son las políticas y procedimientos de la organización.



La política general de seguridad de la información de una organización consiste en la aprobación de una breve declaración de la alta dirección estableciendo unas instrucciones básicas que tratarán, al menos, sobre la importancia de los activos de información, la necesidad de implementar una seguridad, la importancia de definir los activos de información sensibles y críticos y una orientación general sobre la asignación de funciones y responsabilidades dentro de la organización.

La existencia de una política de seguridad de los sistemas de información contribuye a la protección de los activos de información y es de suprema importancia para la supervivencia y el desarrollo de una organización. Su objetivo es proteger la información contra todo tipo de riesgo, accidental o intencional. La política debe asegurar que los sistemas se ajusten a las leyes y regulaciones, y asegurar la integridad, confidencialidad y disponibilidad de la información.



La dirección debe establecer de forma clara las líneas de la política de actuación y manifestar su apoyo y compromiso a la seguridad de la información, publicando y manteniendo una política de seguridad en toda la organización. Normalmente, la política de seguridad de la información proveerá las directrices básicas bajo las cuales operará el administrador de seguridad.

A continuación se deben redactar las normas, procedimientos y prácticas que desarrollan dicha política general y establecen las funciones, obligaciones y responsabilidades del personal. Se deben definir claramente las responsabilidades para la protección de los activos individuales y para llevar a cabo procesos, sistemas o servicios específicos de seguridad. El desarrollo de la política de seguridad de los sistemas de información, que provee el marco de referencia para diseñar y desarrollar los controles de acceso lógico, es responsabilidad del nivel más alto de la dirección en una organización.

Además, también es posible definir un plan de continuidad del negocio o recuperación de desastres. El objetivo es lograr que un negocio continúe funcionando y sobreviva en caso de una interrupción desastrosa de sus sistemas de información, reduciendo el riesgo de la organización ante una interrupción inesperada de sus funciones u operaciones críticas.


Responsabilidades del personal

Las responsabilidades básicas en materia de seguridad de la información en el seno de una empresa incluyen las siguientes:

• Dirección ejecutiva: ostenta la responsabilidad general de proteger los activos de información de la organización.

• Responsable de seguridad/Comité de seguridad: dependiendo del tamaño de la empresa será conveniente disponer de un responsable de seguridad, o por el contrario, de un comité de seguridad. En este último caso éste deberán estar representados los distintos niveles de dirección para tratar los temas y establecer las prácticas de seguridad.

El Responsable de seguridad/Comité de seguridad va a ser el responsable de proveer la seguridad física y lógica adecuada para los programas y los datos, y el responsable de la implementación, monitoreo y ejecución de las reglas de seguridad establecidas y autorizadas por la dirección.

• Gerentes y directores: determinan los niveles de clasificación de los datos. Asignan niveles o grados de sensibilidad y criticidad a los recursos de información para establecer diferentes niveles de controles de acceso. Sus responsabilidades de seguridad incluyen autorizar el acceso, asegurar que estén actualizadas las reglas de acceso cuando ocurran cambios de personal e inventariar periódicamente las reglas de acceso para los datos de los que son responsables. Son los “propietarios de los datos” en el sentido anglosajón.



• Personal de sistemas o informática: son los encargados de implementar la seguridad de la información. Son los responsables de almacenar y salvaguardar los datos. Se podría decir que son “los custodios de los datos”.

• Usuarios: deben leer y seguir la política de seguridad y los procedimientos que les sean de aplicación, que como mínimo, deberán obligarles a :

- Mantener la confidencialidad de los nombres de usuario y las contraseñas.
- Reportar las violaciones o sospechas de violaciones de seguridad.
- Mantener una adecuada seguridad física cerrando puertas con llave, guardando llaves, etc.

Son los “usuarios finales”. Sus niveles de acceso deben ser autorizados por su gerente o director y deben ser restringidos y monitoreados por el administrador de seguridad. Además deben estar vigilantes respecto de personas no autorizadas en las áreas de trabajo y acatar las políticas generales de seguridad.



• Auditores de SI: proporcionan a la dirección una garantía independiente sobre la adecuación y efectividad de los objetivos y prácticas de Seguridad de la Información.

Formación del personal y apoyo de la alta dirección

Constituye un elemento clave de la administración de la seguridad de la información que las políticas, procedimientos, responsabilidades y planes sean documentadas por escrito y sean comunicadas claramente a todo el personal de la organización, puesto que les afecten a todos ellos.

Todos los empleados de una organización deben recibir una formación apropiada sobre la importancia de la seguridad en las políticas y procedimientos de la organización. Existen diferentes mecanismos para elevar la conciencia de la seguridad como el uso de boletines de noticias, página web, incidentes simulados, auditorías periódicas etc.



Sin duda, el factor crítico de éxito para una administración efectiva de la Seguridad de la Información es el compromiso y el apoyo de la alta dirección. Ésta debe demostrar un compromiso con la seguridad aprobando la política de seguridad y apoyando claramente la conciencia y la formación en seguridad.

Ignacio Bruna López-Polín
Licenciado en Derecho.
Especialista en Derecho de las Nuevas Tecnologías
Auditor CISA (Certified Information Systems Auditor) por ISACA

Letrado del Departamento de Seguridad de Información y Protección de Datos.
BELT IBÉRICA S.A.
ibruna@belt.es

Fuente: BELT IBERICA S.A
Fecha: 09/01/2004

© BELT.ES  Copyright. Belt Ibérica, S.A. Madrid - 2004. belt@belt.es