La seguridad de la información
Enviado por Edy Moyolema • 4 de Abril de 2019 • Apuntes • 1.255 Palabras (6 Páginas) • 107 Visitas
Finalmente, la pregunta fundamental en la gestión es si el coste de la «no-seguridad» es mayor que el de la «seguridad». Dicho de otra forma, la gestión de la seguridad tiene que fundamentarse en un análisis coste-beneficio. El problema es que la cuantificación del coste en este caso depende del análisis de riesgos.
El tema debe comenzarse comprendiendo y sabiendo enunciar:
Qué se protege
La confidencialidad, integridad y disponibilidad.
De qué activos
De los clasificados como valiosos.
Por qué medios
Mediante controles implementados en políticas, estándares y procedimientos.
Además de lo anterior, es importante conocer la protección de las amenazas físicas. En estos materiales solo se repasan sucintamente, pero esa formación debe completarse con recursos externos.
También como aspecto general de gran importancia debes comprender la importancia del «factor humano» y entender que las técnicas de «ingeniería social» hacen inútiles a los medios técnicos más sofisticados. Es interesante buscar y leer casos de brechas de seguridad en las que el «eslabón más débil» fue un empleado y no un sistema pobremente configurado.
La seguridad de la información implica determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo.
Ejemplo:
Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía, detección de intrusos y seguimiento de la actividad interna. No obstante, la simple negligencia de un empleado relativa a la política de claves de seguridad puede permitir el acceso a un intruso. Es importante entender que un sistema de seguridad incluye también a personas y procedimientos, más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier, «si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la tecnología».
Podemos decir que la perspectiva organizativa y la legal indican qué hay que proteger (lo establecido en la ley y los recursos importantes para la organización) y por qué y de qué (porque se protegen derechos de las personas frente a violaciones de la privacidad o porque comprometer ciertos recursos de información afecta al negocio por acciones de robo de información o espionaje industrial).
Desgraciadamente, en muchas ocasiones los usuarios perciben las medidas de seguridad como controles innecesarios, engorrosos o excesivos. Por ello, los controles de seguridad deben justificarse adecuadamente y la actitud de los empleados hacia la seguridad debe serobjeto de formación, entrenamiento y explicación.
La confidencialidad
La privacidad es quizá el aspecto que se menciona con más frecuencia en cuanto a la confidencialidad. La privacidad de la información personal es un derecho protegido por regulaciones internacionales y nacionales, pero no es más que una de las caras de la confidencialidad.
En una empresa, la lista de los mejores proveedores en un área no es información personal, pero obviamente su acceso debe estar limitado a ciertos empleados.
Es la propiedad de prevenir la revelación y divulgación intencionada o no intencionada de información a personas o sistemas no autorizados.
La integridad
Quizá el ejemplo más típico de ataque contra la integridad sea la alteración de un balance de una cuenta bancaria.
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
Algunos autores consideran que la integridad debe también cubrir las modificaciones no autorizadas por el personal autorizado, es decir, el control interno de las autorizaciones.
La integridad de la información se gestiona de acuerdo a tres principios básicos:
Dar acceso de acuerdo al criterio del menor privilegio (criterio need-to-know).
Separación de obligaciones (duties).
Rotación de obligaciones.
El primero de los principios es muy simple. Solo se debe dar acceso a los usuarios a aquellos recursos de información que les sean absolutamente imprescindibles para realizar su trabajo. Yendo un paso más allá, este principio lleva a establecer controles específicos para evitar que los usuarios puedan modificar información de maneras que comprometan su integridad. Un ejemplo de este tipo de controles es un registro de transacciones de las acciones del usuario, de modo que puedan inspeccionarse posteriormente.
...