Actividades de aprendizaje. Seguridad de la información

Seguridad de la información

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

Conceptos básicos

En el marco de la seguridad de la información utilizamos una serie de conceptos que identifican cada una de estas cualidades en los diferentes elementos utilizados. Así, definimos:

Integridad: propiedad que busca mantener la información libre de modificaciones realizadas por personal no autorizado.

Confidencialidad: propiedad que garantiza el uso de la información sólo por personal autorizado.

Disponibilidad: propiedad de la información de estar accesible a los usuarios de la misma.

No repudio (irrefutabilidad): esta propiedad liga la información a un determinado autor, evitando el rechazo de su autoría.

Por tanto, podremos decir que algo es tanto más seguro cuanto mayor grado de estas propiedades atesore, es decir, cuanto más íntegro, más confidencial, más disponible y más irrefutable sea.

Historia y evolución

Desde tiempos inmemorables el hombre ha resguardado y protegido con celo sus conocimientos debido a la ventaja y poder que éste le producía sobre otros hombres o sociedades. En la antigüedad surgen las bibliotecas, lugares donde se podía resguardar la información para trasmitirla y para evitar que otros la obtuvieran, dando así algunas delas primeras muestras de protección de la información. Sun Tzuen El arte de la guerra y Nicolás Maquiavelo en El Príncipe señalan la importancia de la información sobre los adversarios y el cabal conocimiento de sus propósitos para la toma de decisiones. Durante la Segunda Guerra Mundial se crean la mayoría de los servicios de inteligencia del mundo con el fin de obtener información valiosa e influyente, creándose grandes redes de espionaje. Como forma de protección surge la contrainteligencia. Con el devenir de los años al incrementarse el alcance de la tecnología, el cuidado dela información se ha vuelto crucial para los hombres, las organizaciones y las sociedades. Pero ¿por donde empezó el asunto? ¿Por dónde comenzar a deshilvanar el ovillo? Sin dudas uno de los pioneros en el tema fue James P. Anderson, quien allá por 1980y a pedido de un ente gubernamental produjo uno de los primeros escritos relacionados con el tema, y es allí donde se sientan también las bases de palabras que hoy suenan como naturales, pero que por aquella época parecían ciencia ficción.

Diseñar una línea del tiempo que permita identificar los eventos detonantes de la evolución de la seguridad.

• Aplicar diversas técnicas de recopilación de información para la obtención de riesgos de la información.

Existen 3 métodos interactivos que se pueden utilizar para la obtención de los requerimientos de información de los miembros de la organización. Dichos métodos son las entrevistas, el diseño conjunto de aplicaciones y la realización de encuestas mediante cuestionarios. La base de los métodos está en preguntas formuladas cuidadosamente. Cada uno de los métodos para la recuperación de información tiene su propio proceso para interactuar con los usuarios. Si se siguen estos enfoques ayudarán a garantizar el diseño y la implementación apropiados de entrevistas y cuestionarios.

Entrevistas

Antes de entrevistar a alguien más, tenemos que entrevistarnos a nosotros mismos. Necesitamos conocer nuestros prejuicios y cómo afectarán éstos nuestras percepciones. Se necesitan pensar detenidamente las entrevistas antes de hacerlas. Asimismo, debemos pensar cómo lograremos que la entrevista sea satisfactoria para el individuo al que entrevistemos. Una entrevista es una conversación dirigida con un propósito específico que utiliza un formato de preguntas y respuestas. En la entrevista necesitamos obtener las opciones de los entrevistados y su parecer acerca del estado actual del sistema, metas organizacionales y personales y procedimientos informales. Además se debe tratar de captar los sentimientos de los entrevistados, y con ello, poder entender la cultura de la organización de una manera más compleja. Se debe de tratar de averiguar lo más que se pueda acerca de las metas de la organización por medio de las entrevistas; y dentro de ella, nosotros debemos de establecer un ambiente de confianza y de entendimiento rápidamente, pero al mismo tiempo, llevar el control de la entrevista. Pasos para preparar una entrevista

• Leer los antecedentes: El propósito es crear un vocabulario común que en un futuro le permita expresar preguntas de la entrevista de una manera comprensible para su entrevistado.

Establecer los objetivos de la entrevista: Debe de haber áreas claves referentes al procesamiento de la información y al comportamiento relacionado con la toma de decisiones acerca de las cuales tendremos que hacer preguntas.

• Decidir a quién entrevistar: Se debe incluir a la gente clave en todos niveles que vayan a ser afectadas por el sistema de alguna manera.

• Preparar al entrevistado: Se realiza hablándole por anticipado o enviándole un mensaje por correo electrónico. Si las entrevistas tienen una larga duración, es posible que los entrevistados se enfaden, pero lo pueden ocultar.

• Decidir el tipo de preguntas y la estructura: Se deben de escribir preguntas que abarquen las áreas de la toma de decisiones que haya descubierto la terminar los objetivos de la entrevista. La estructura de las preguntas deben de ser como una pirámide (empezar con preguntas a menudo cerradas, y continuar con preguntas abiertas y más generalizadas), una estructura de embudo o una estructura de diamante (iniciar con preguntas generales y abiertas, y concluir limitando las respuestas con preguntas cerradas).

Recopilación y análisis de documentos

Es importante la adopción de un método mediante el cual se registrarán los hechos del estudio. Registrar ordenadamente la información recopilada de cualquier investigación que se realice, es de exigencia general. Una regla general que debe tomarse en cuenta al realizar los registros, es hacerlo con la debida calidad para que cualquier persona pueda entenderlos. Es esencial obtener copias de los documentos utilizados en el sistema. Durante el curso de investigación, el analista deberá auxiliarse del uso de diagramas para el registro de las actividades. Existen fundamentalmente tres tipos de diagramas:

•Organigramas: Muestran la estructura orgánica y/o funcional de una organización. Señalan las funciones de línea y dan idea de las responsabilidades del personal de esa organización. Su valor residen destacar los niveles de autoridad.

•Cuadros de Distribución de Trabajo: Describe las actividades de cada unidad de la estructura de un departamento, determinando qué hace cada puesto. A través de esta técnica se obtiene una visión de las unidades de trabajo.

•Flujogramas de procedimientos de diagramas de flujo: Representa el flujo de información de un procedimiento y satisfacen 3 funciones principales:

o Permite al analista asegurarse que se ha desarrollado todos losaspectos del procedimiento.

o Da las bases para escribir un informe lógico y claro.

o Es un medio para establecer un enlace con el personal que eventualmente operará el nuevo procedimiento.

Los diagramas de flujo son la representación gráfica de un proceso administrativo. A través del diagrama de flujo puede graficarse cualquier situación administrativa u operativa, representada en forma objetiva para mostrar procedimientos. Una vez que se ha reunido toda la información relativa a la forma actual de operar del sistema, el analista o grupo de analistas procederán a organizar y documentar todo el material escrito, a fin de cubrir posteriormente la fase de análisis y crítica del mismo. Como último paso del proceso de la investigación sobre la forma actual de operar del sistema, el responsable del estudio presentará a los usuarios un documento final, con el objeto de ultimar detalles que no hayan sido comprendidos por el analista. La presentación del documento debe presentarse bajo la siguiente estructura:

1. Introducción.

2. Objetivos del procedimiento.

3. Diagramas del flujo de actividades.

4. Descripción literaria del sistema.

...