Seguridad De La Informacion
Enviado por erick16matos • 4 de Abril de 2015 • 5.265 Palabras (22 Páginas) • 173 Visitas
INTRODUCCION
Hablaremos de la seguridad de la información , pero , ¿ Que es la seguridad de la información? Podemos definirla como la característica que indica que un sistema está libre de todo peligro, daño o riesgo. Hay usuarios malignos que buscan destruir esta seguridad y he aquí el trabajo donde hablaremos de este tema tan interesante.
Seguridad de la información
Existen muchas definiciones del término seguridad. Simplificando, y en general, podemos definir la seguridad como: "Característica que indica que un sistema está libre de todo peligro, daño o riesgo." (Villalón)
Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil transportar la información también hay más posibilidades de que desaparezca 'por el camino'. Si es más fácil acceder a ella también es más fácil modificar su contenido, etc.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.
Existen también diferentes definiciones del término Seguridad Informática. De ellas nos quedamos con la definición ofrecida por el estándar para la seguridad de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de 2005 por la International Organization for Standardization (ISO) y por la comisión International Electrotechnical Commission (IEC).
“La seguridad informática consiste en la implantación de un conjunto de medidas técnicas destinadas a preservar la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.”
Como vemos el término seguridad de la información es más amplio ya que engloba otros aspectos relacionados con la seguridad más allá de los puramente tecnológicos.
La seguridad de la información comprende el conjunto de análisis, herramientas y metodologías que permiten mantener la privacidad, la integridad y la operatividad de la información en un sistema informático.
* Privacidad: consiste en que la información no pueda ser accesible a personas no autorizadas.
* Integridad: se basa en que la información sólo pueda ser modificada por el personal autorizado.
* Operatividad: es la disponibilidad de la información cada vez que se considere necesario.
En informática, estos conceptos aluden a la creación de plataformas o programas que puedan impedir que usuarios o programas ejecuten acciones no permitidas por el sistema. Por ejemplo, el acceso a determinada información. Una dificultad consiste justamente en permitir que los usuarios legítimos realicen determinadas acciones, mientras se les impide lo mismo a otros usuarios no autorizados.
Por su parte, un sistema informático, no es sólo el hardware y el software utilizados, sino que está integrado también por el ambiente de trabajo, el personal, los medios físicos de almacenamiento, la información propiamente dicha y las interrelaciones entre todos estos elementos, como se observa en la ilustración.
Seguridad de la información: modelo PDCA
Dentro de la organización el tema de la seguridad de la información es un capítulo muy importante que requiere dedicarle tiempo y recursos. La organización debe plantearse un Sistema de Gestión de la Seguridad de la Información (SGSI).
El objetivo de un SGSI es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.
Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.
Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.
Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.
PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las políticas de seguridad, se hace el análisis de riesgos, se hace la selección de controles y el estado de aplicabilidad
HACER (Do): consiste en implementar el sistema de gestión de seguridad de la información, implementar el plan de riesgos e implementar los controles.
VERIFICAR (Check): consiste en monitorear las actividades y hacer auditorías internas.
ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.
...