Documente Academic
Documente Profesional
Documente Cultură
Introducción
Podemos entender como seguridad un estado de
cualquier sistema (informático o no) que nos indica que
ese sistema está libre de peligro, daño o riesgo. Se
entiende como peligro o daño todo aquello que pueda
afectar su funcionamiento directo o los resultados que
se obtienen del mismo. Para la mayoría de los expertos
el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro.
La seguridad informática es la disciplina que se ocupa
de diseñar las normas, procedimientos, métodos y
técnicas orientados a proveer condiciones seguras y
confiables para el procesamiento de datos en sistemas informáticos.
Principios rectores
Para que un sistema se pueda definir como seguro debe tener estas tres
características:
Objetivo
La seguridad informática tiene como objetivo proteger los activos de la información.
Son tres elementos que conforman los activos:
Información: Es el objeto de mayor valor para una organización, el objetivo es el
resguardo de la información, independientemente del lugar en donde se encuentre
registrada, en algún medio electrónico o físico.
Factores de riesgos
Tecnológicos:
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está
permitido debe estar prohibido" y ésta debe ser la meta perseguida.
Preventivos
Detectivos
Correctivos
La seguridad informática debe ser estudiada para que no impida el trabajo de los
operadores en lo que les es necesario y que puedan utilizar el sistema informático
con toda confianza. Por eso en lo referente a elaborar una política de seguridad,
conviene:
Los derechos de acceso de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales tienen que
conseguir que los recursos y derechos de acceso sean coherentes con la política de
seguridad definida.
Las amenazas
Los puntos de entrada en la red son generalmente el correo, las páginas web y la
entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red sólo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch
puedan trabajar durante el tiempo inactivo de las máquinas.
Estas normas proporcionan un marco reconocido a nivel mundial por una sólida
gestión de seguridad de la información.
Las seis partes a la serie 27000 de cada operación con un área diferente de un
Sistema de Gestión de Seguridad de la Información (SGSI). En este documento se
exponen brevemente a cada sección y luego concentrarse en la norma ISO 27001,
la sección que detalla los requisitos para ISMS. Una visión general de lo que la serie
trata se pueden encontrar en la siguiente tabla.
ISO / IEC 27006 - Proporciona requisitos para entidades que realizan la auditoría
y certificación de sistemas de gestión de seguridad de la información.
Como se puede observar en la tabla anterior, la norma ISO 27001 detalla las
necesidades reales de las empresas para cumplir con la norma ISO 27000.
ISO 27002 se basa en la norma ISO 27001, proporcionando una descripción de los
diversos controles que pueden ser utilizados para cumplir con los requisitos de la
norma ISO 27001.
ISO 27005 define el enfoque de gestión de riesgos de alto nivel recomendado por la
ISO y la norma ISO 27006 describe los requisitos para las organizaciones que
medirán la norma ISO 27000 para la certificación de
cumplimiento.
Los aspectos de seguridad y control de la información deben ser una prioridad para
las compañías, debido a que las amenazas pueden surgir tanto desde el exterior
como desde el interior de la organización (virus, hackers, empleados, etc.). El plan
de seguridad de la información de una organización debe tratar todas estas
amenazas que con el uso de internet se ven amplificadas, debido a que los
principales ataques a los sistemas y a la información provienen de la red. La alta
gerencia debe decidir el tiempo, dinero y esfuerzo, que hay que invertir para
desarrollar las políticas y controles de seguridad apropiados puesto que cada
organización debe analizar sus necesidades específicas y determinar sus requisitos y
limitaciones en cuanto a recursos y programación.