CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »

miércoles, 28 de enero de 2009

SEGURIDAD DE LA INFORMACION

La informacion es un activo que, como otros activos comerciales es importante para el negocio de una organizacion y en concecuencia necesita ser protegida adecuadamente. Esto es especialmente importante en el ambiente comercial cada vez mas interconectado.
Como resultado de esta creciente interconectividad, la informacion ahora èsta expuesta a un numero cada vez mayor y a una variedad mas amplia de amenazas y vulneravilidades.

La informaciòn puede existir en muchas formas, puede estar escrita o impresa en un papel, transmitida electronicamente, transmitida por correo o utilizando medios electronicos, mostrada en peliculas o hablada en una conversaciòn. Cualquiera que sea la forma que tome la informaciòn o medio por el cual esta almacenada o compartida debe ser protegida.

La seguridad de la informatica se logra iplementando un adecuado conjunto de controles incluyendo politicas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Se necesita establecer, implementar, monitorear, revisar y mejorar estos controles cuando sea necesario para asegurar que se cumplan los objetivos de seguridad y comerciales especificos. Esto se deberia realizar en conjunto con otros procesos de gestion del negocio.

¿ PORQUE SE NECESITA SEGURIDAD DE LA INFORMACION?

La informacion y los procesos, sistemas y redes de apoyo son activos comerciales importantes. Definir, lograr, mantener y mejorar la seguridad de la infomacion puede ser escencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial.

Las organizaciones y sus sistemas y redes de informacion enfrentan amenazas de seguridad de un amplio rango de fuentes; incluyendo fraude por computadora, espionaje, sabotage, bandalismo, fuego o inundacion. Las causas de daño como codigos maliciosos, pirateo computarizado o negacion de ataques de servicio se hacen cada vez mas comunes, mas ambiciosas y cada vez mas sofisticadas.

La seguridad de la informacion es importante tanto como para negocios del sector publico como privado, y para proteger las infraestrtucturas crìticas. En ambos sectores, laseguridad de la informacion funcionara como un facilitador; por ejemplo para lograr x-gobierno o x-negocio, para evitar o reducir los riesgos reelevantes. La interconexion de redes publicas y privadas y el intercambion de fuentes de informacion incrementa la dificultad de lograr control de acceso. La tendencia a la computacion distribuida tambien ha debilitado la efectividad de un control central y especializado.


Muchos sistemas de informacion no han sido diseñados para ser seguros. La seguridad que se puede lograr atravez de medios tcnicos es limitada, y deberia ser apoyada por la gestion y los procedimientos adeciados. Identificar que controles se deben establecer requiere de una planeacion cuidadosa y prestar atencion a los detalles. La gestion de la informacion requiere como minimo, la participacion de los accionistas, proveedores, terceros, clientes u otros grupos externos. Tambien se puede requerir acesoria especializada de organizaciones externas.


¿COMO ESTABLECER LOS REQUERIMIENTOS DE SEGURIDAD?

Es ecencial que una organizaciòn identifique sus requerimientos de seguridad. Existen tres fuentes prinsipales de requerimientos de seguridad.
Una fuente se deriva de evaluar los riesgos para la organizacion, tomando en cuenta la extrategia general y los objetivos de la organizacion. Atravez de la evaluacion del riesgo, se identifican las amenazas para los activos, se evalua la vulnerabilidad y la probabilidad de ocurrencia y se calcula el impacto potencial.

Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales que tiene que satisfacer una organizacion, sus socios comerciales, contratistas y proveedores de servicio; y su ambiente socio-cultural

Otras opciones fuentes es el conjunto particular de prinsipios, objetivos y requerimientos comerciales para el procesamientos de las informacion que una organizacion a desarrollado para el sostenimiento de sus operaciones.

EVALUANDO LOS RIESGOS DE SEGURIDAD


Los requrimientos de seguridad se identifican mediante una evaluacion metodica de los riesgos de seguridad. El gasto en controles deberia ser equilibrado con el daño comercial probable resultado de fallas en la seguridad.

Los resultados de la evaluacion del riesgo ayudaran a guiar y a determinar la accion de gestion apropiada y las propiedades para manejar los riesgos de seguridad de lainformacion, e implementar los controles seleccionados para protegece contra esos riesgos.

La evalucion del riesgo se debe repetir periodicamente para tratar cualqueir cambio que podria influir en el los resultados de la evaluacion de riesgo.

SELECCION DE CONTROLES

Una vez que se han identificado los riesgos y los requerimientos de seguridad y sen han tomado las decisiones para el tratamiento de los riesgos, se deberian seleccionar los controles apropiados y se deberian implementar para que los riesgos se reduzcan a un nivel aceptable. Los controles sepueden seleccionar apartir de estandares o otros conjuntos de controles, o se pueden diseñar controles nuevos para cumplir con necesidades especificas conforme sea apropiado. La seleccion de los controles de seguridad depende de las decisiones organizacionales basadas en el criterio de aceptacion del riesgo, opciones de tratamiento del riesgo y enfoque general para la getion del riesgo aplicado a la organizacion, y tambien deberian estar sujetas a todas las regulaciones y legislaciones nacionales e internacionales relevantes.

PUNTO DE INICIO DE LA SEGURIDAD DE LA INFORMACION

Se pueden conciderar un numero de controles como un buen punto de inicio para implemetacion de la seguridad de la informacion. Estos se basan en requerimientos legislativos esenciales o pueden ser conciderados como una practica comun para la seguridad de la informacion.

Los controles considerados como esenciales para una organizacion desde el punto de vista legislativo incluyen, dependiendo de la legislacion aplicable:

a) proteccion de datos y privacidad de la informacion personal.
b) proteccion de los riesgos organizacionales.
c) derechos de propiedad intelectual.

Los controles considerados practica comun para la seguridad de la informacion incluye:

a) documento de la politica de la seguridad de la informacion.
b) asignacion de responsabilidades de la seguridad de la informacion.
c) conocimiento, educacion yl capacitacion en seguradad de la informacion.
d) procesamiento correcto de las aplicaciones.
e) getion de la vulnerabilidad tecnica.
f) gestion de la comunidad comercial.
g) gestion de los incidentes y mejoras de la seguridad de la informacion.

Estos controles se aplican a la mayoria de organizaciones y en la mayoria de los escenarios.

Se deberia notar que aunque los controles en este estandar son importantes y deberian ser conciderados, se deberian determinar la relevancia de cualqueir control a la luz de los riesgos especificos que enmrenta la organizacion. Por lo tanto, aunque el enfoque arriba mencionado es conciderado como un buen punto de inicio no reemplaza la seleccion de controles basada en la evaluacion de riesgo.

FACTORES DE EXITO CRITICOS

La experiencia ha mostrado que los siguientes factores con frecuencia son criticos para una exitosa implementacion de la seguridad de la informacion dentro de una organizacion:

a) politica, objetivos y actividad de seguridad de la informacion que reflejan los objetivos comerciales.
b)un enfoque y marco referencial para implementar,mantener, monitorear y mejorar la seguridad de la informacion que sea consistante con la cultura organizacional.
c)soporte visible, y compromiso de todos los niveles de getion.
d)un buen entendimiento de los requerimientos de seguridad de la informacion, evalucion del riesgo y gestion del riesgo.
e)marketin efectivo de la seguridad de la informacion con todos los gerentes, empleados y otras partes para lograr la conciencia sobre el tema.
f)distribucion de lineamientos sobre la plitica y los estandares de segurudad de la informacion para los gerentes, empleados y otras partes invlucradas.
g)provision para el financeamiento de actividades de gestion de la seguridad de la informacion.
h)proveer el conocimiento, capacitacion y educacion apropiados.
i)establecer un proceso de gestion de incidentes de seguridad de la informacion.
j)implementacion de un sistema de medicion que se utiliza para evaluar el desempeño de la gestion de seguridad de la infomacion y retroalimentacion de sugerencias para el mejoramiento.











0 comentarios: