CONTROLES

CONTROLES EN LA SEGURIDAD DE LA INFORMACIÓN

PRINCIPIOS DE LA SEGURIDAD

La seguridad de la información debe conformase de controles, políticas, procedimientos, concientización y entrenamientos que aseguren que todo el mundo tomen las precauciones necesarias para preservar:

CONFIDENCIALIDAD

El acceso a la información debe ser restringido en función de la persona que intenta acceder y de la pertinencia de dicho acceso. En otras palabras, se debe establecer quién acceda qué datos, cuándo y cómo.

INTEGRIDAD

La información registrada debe ser veraz y completa, y para ello debe estar protegida contra accidentes y ataques. Si los datos no son fiables o están incompletos, no son de utilidad.

Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos.

Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, computadores y procesos comparten la misma información.

También es el de mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad.

DISPONIBILIDAD

La información debe estar disponible en el momento y lugar en que sea necesaria, independientemente del momento y lugar en el que se haya generado. Asegurando que la información estará disponible siempre que usted o cualquier otra persona autorizada necesite hacer uso de ella.

La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. Grosso modo, la disponibilidad es el acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la seguridad de la información del negocio.

La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera.

Tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de web etc., mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.

Asegurando que los usuarios autorizados tienen acceso en todo momento a la información y a los activos cuando son requeridos.

La disponibilidad de los sistemas de información está relacionada con la continuidad del servicio. Tiene en cuenta toda indisponibilidad prolongada, total o parcial, del sistema de información y puede lanzar, en función de su duración, una serie de actividades o procedimientos que aseguren la continuidad de dicho servicio.

La indisponibilidad de datos, informaciones y sistemas de información, sin elementos alternativos que permitan la continuidad del servicio, puede provocar las siguientes consecuencias:

• Pérdidas de explotación:

 Reducción de margen por falta de resultados o gastos suplementarios para mantener la funcionalidad precedente a la amenaza

• Responsabilidad civil o administrativa:

 Del propietario del sistema siniestrado por los perjuicios causados a terceros

• Pérdidas cualitativas en distintos campos:

 Deontología

 Credibilidad

 Prestigio

 Imagen

Las medidas a tener en cuenta en el momento de concebir y desarrollar el sistema, principalmente en el ámbito de la protección, para aminorar el impacto que puede provocar la indisponibilidad de alguno de los elementos del SI, son : la salvaguarda de los datos y respaldo de dispositivos periféricos.

A continuación se detallan algunas de las consideraciones a tener en cuenta relacionadas con las mencionadas medidas.

En la salvaguarda de datos:

• Establecer la política a seguir y diseñar los procedimientos para la realización de las copias de seguridad de la información y los programas del SI, con la periodicidad que se estime necesaria para garantizar la recuperación de la misma a la situación anterior a detectar cualquier incidencia. Se debe considerar:

 La responsabilidad del usuario en la realización periódica de copias de seguridad en el caso de la informática distribuida del SI y las consignas para su custodia

 La periodicidad (diaria, semanal, mensual, aperiódica), el tipo de copia (total o incremental), el número de generaciones

...