Ver Suplemento Temático...


Seguridad de la Información y Protección de Datos.

 

 Expertos

Henri Letellier

Estudiante en Sun Academy, Alfresco Academy
Consultor Alfresco y J2EE en Blaunia

Seguridad de los sistemas de información (I)


Los que hayáis seguido la serie de artículos sobre seguridad física os daréis cuenta que en esta serie he cambiado el título y en vez de llamarla seguridad lógica he preferido llamarla seguridad de los sistemas de información. Hubiese podido llamarla seguridad TIC (que sería: seguridad de tecnología de informática y de las telecomunicaciones) pero todavía el título quedaría demasiado restrictivo.

¿Porqué seguridad de los sistemas de información?

Definamos en primer lugar que es la seguridad de la información:

  • En el sentido que vamos a emplear aquí la información esta referida a los activos de información.

¿Qué es un activo de información?

En primer lugar es un activo es decir algo que tiene valor para la empresa. Este bien puede ser tanto físico como lógico. En la parte física los activos con los que nos podemos encontrar son:

  • Equipos informáticos (tanto PC como servidores). Almacenan tanto la información como las aplicaciones para gestionarla y transmitirla y contienen los credenciales de acceso a ella.
  • Teléfonos móviles (sobre todo los de última generación). Estos equipos ya poco tiene que ver con estos:

 

Móvil de 1956 

Móvil de 1956

Martin Cooper 

Martin Cooper inventor del primer móvil

Ahora el que menos dispone de una agenda telefónica y esta agenda contiene datos de contacto de clientes que conviene asegurar:

  • Elementos de red (routers, switches). Pueden almacenar direcciones IP de nuestra red  así como reglas de tráfico, por lo tanto es importante garantizar la confidencialidad en su acceso.
  • Infraestructura. Si bien esto es un activo de la empresa, poco podemos hacer a nivel de seguridad lógica para garantizar su integridad, la protección de este activo tiene más que ver con la seguridad física.
  • Empleados. Este suele ser el eslabón más débil de la seguridad de los sistemas de información. Será nuestra obligación formarlo , concienciarlo y hacerle asumir las responsabilidades que, como usuario de los sistemas de información, tiene. En una próxima serie de artículos hablaré de: Web 2.0 vs Seguridad de los Sistemas de Información – ¿Convivencia posible o divorcio seguro?

En la parte lógica tendremos:

  • Datos de : Empleados, Clientes, Proveedores y Productos. Estos activos son muy importante, es la información básica sin la cual la empresa no podría funcionar. Estos activos serán el principal objetivo de la seguridad física que deberá poner todos los medios disponibles para asegurar su disponibilidad, fiabilidad y confidencialidad.
  • Las aplicaciones (ERP, programa de nóminas, e-mail, servidor web, etc). Será nuestra responsabilidad asegurar su seguridad.

¿Qué es entonces la seguridad de la información?

En todas las organizaciones del mundo se recogen, tratan y transmiten una gran variedad de datos a una gran variedad de actores  y a través de muchos medios, todas las acciones, actores y medios de estas transacciones pueden necesitar y necesitan protección.

La seguridad de los sistemas de información es la protección de la disponibilidad, confidencialidad e integridad de los activos de las organizaciones aplicando los medios necesarios y suficientes para preservarlos de las amenazas.

  • Disponibilidad: La información estará lista para acceder a ella o utilizarse cuando se necesita.
  • Confidencialidad: A la información solo pueden acceder las personas autorizadas para ello.
  • Integridad: La información ha de estar completa y correcta en todo momento.

En muchos artículos encontraremos esta figura para simbolizar como disponibilidad, confidencialidad e integridad se combinan para proteger la información:

Parámetros de la seguridad de la información 

Parámetros de la seguridad de la información

Personalmente prefiero representar estos parámetros de la manera siguiente:

Parámetros de la seguridad 

Parámetros de la seguridad

En esta figura creo que queda más claro que las características de la información que tenemos que asegurar, es decir:

  • Primero tenemos que asegurarnos que la información está disponible en cada momento, si no lo estuviese no podríamos asegurar ni la confidencialidad ni la integridad.
  • En un segundo tiempo tenemos que asegurarnos que solo las personas autorizadas podrán acceder a la información.
  • Finalmente tenemos que velar por la integridad de la información.
Dependiendo de las necesidades del negocio, también podemos tener en cuenta los siguientes parámetros:
  • Autenticidad: La información es lo que dice ser y/o el transmisor de la información es quién dice ser.
  • Trazabilidad: Esta característica asegura que en todo momento podemos saber quién hizo qué y cuándo lo hizo.

¿Qué entendemos por Seguridad de la Información?

Un fallo de seguridad es todo incidente que potencialmente puede comprometer un activo de la organización en cualquiera de los factores con los que se valora la seguridad: disponibilidad, confidencialidad o integridad de esta información.

En nuestro mundo actual de las redes sociales, web 2.0, etc, mundo en el cual los sistemas y las personas intercambian información de manera global es muy fácil entender los retos que resultan de querer proteger la información a nivel de disponibilidad, confidencialidad  integridad. Tenemos que prever amenazas como:

  • Fallos humanos de usuarios internos o externos (clientes, proveedores).
  • Accesos no autorizados a los sistemas o a la propia información.
  • Fallos en las comunicaciones de todo tipo: telefónicas, correo electrónico, transmisión de archivos, navegación, etc.
  • Fallos en los sistemas de información: redes, aplicaciones, equipos, etc.
  • Fallos en el suministro eléctrico.
  • Virus informáticos, gusanos, troyanos, etc. que pueden en todo momento comprometer tanto nuestros servidores como nuestros equipos.
  • Incumplimiento de una ley o un reglamento (LOPD por ejemplo).

Los fallos de seguridad son, muchas veces, el resultado de un exceso de confianza que puede venir tanto de:

  • Haber asegurado la seguridad física.
  • Difundir información no controlada fuera de la propia organización,en las redes sociales por ejemplo.
  • Por la idea de que si tenemos protegidos nuestros datos entonces la seguridad de los sistemas de información está asegurada y esto es falso ya que numerosos activos podrían ser dañados  con facilidad.

¿Qué son los Sistemas de Gestión de la Seguridad de la Información (SGSI)?

Hasta ahora lo más común ha sido ir resolviendo los agujeros de seguridad con medidas puntuales a cada vez que surgía un incidente de seguridad. Estas medidas, tomadas a posteriori solían ser descoordinadas y poco proporcionadas al riesgo que pretendían reducir. La implantación de estas no solía estar controlada de manera planificada y su implantación era bastante errática. El resultado de estas medidas inconexas era que se seguían manteniendo niveles de riesgo importantes.

Los  incidentes que amenazan la seguridad de la información requieren de sistemas en consonancia con el valor de las activos que pretenden proteger (información, personal, etc) así como de los  sistemas informáticos que gestionan dicha información.

Las normas, , procedimientos y controles de seguridad que se utilizan para gestionar esta seguridad es lo que conocemos por Sistema de Gestión de Seguridad de la Información o SGSI.

De una manera más estricta, un SGSI es aquella parte del sistema general de gestión de una organización que comprende:

  • la política.
  • la estructura organizativa.
  • los procedimientos.
  • los procesos.
  • los recursos necesarios para implantar la gestión de la seguridad de la información.

Un SGSI nos permitirá ir reduciendo poco a poco el nivel de riesgo que la organización tiene sobre sus activos hasta llegar a un punto asumible. No olvidemos que no podremos nunca reducir los riesgos a cero, ni por los coste ni los esfuerzos que esto supondría. Este nivel de riesgo que asumiremos será el riesgo remanente.

Ni la definición ni la implantación de un SGSI deberían ser ni un coste ni un esfuerzo relevantes para la organización. El SGSI que una organización necesita debe ajustarse tanto a los requisitos del negocio como a los recursos disponibles. Debe solucionar los problemas de la organización, o parte de ella, ajustando en todo momento efuerzos y costes.

Un SGSI:

  • Marca las pautas que se deberían seguir en la organización para garantizar la seguridad de la información y las responsabilidades de cada cual al respecto.
  • Recoge los objetivos que se pretenden obtener y los recursos con los que se podrá  contar para ello.

Por tanto definiremos un Sistema de Gestión de Seguridad de la información (SGSI) como la manera en la que una organización conoce los riesgos a los que está sometida su información y los gestiona mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

Suplemento Temático: Los nuevos retos del Director de Seguridad

 


Fuente: Blaunia
Fecha: 30/09/10

   Mas artículos de Henri Letellier        Otros Expertos   

Este experto ha sido visto por 1757 personas.