Seguridad informática

Seguridad de la información: introducción

Cuando hablamos de seguridad de la información estamos indicando que dicha información tiene una relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés para una organización (empresa) determinada se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados  en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil transportar la información también hay más posibilidades de que desaparezca 'por el camino'; si es más fácil acceder a ella también es más fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas (mainframes) aislados hasta nuestros días, en los que el trabajo en red (networking) es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

Definimos el concepto de Seguridad Informática:

Medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican (Infosec Glossary-2000)

 

 

Tradicionalmente la seguridad informática se desglosa en dos grandes grupos:

  •   Seguridad Física
  •   Seguridad Lógica

Sistema de Gestión de la Seguridad de la Información

El objetivo de un Sistema de Gestión de la Seguridad de la Información (SGSI) es proteger la información y para ello lo primero que debe hacer es identificar los 'activos de información' que deben ser protegidos y en qué grado.

Luego debe aplicarse el plan PDCA ('PLAN – DO – CHECK – ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo.

La organización debe entender la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son únicamente de naturaleza tecnológica, y por ese motivo nunca se eliminan en su totalidad.

Un SGSI siempre cumple cuatro niveles repetitivos que comienzan por Planificar y terminan en Actuar, consiguiendo así mejorar la seguridad.

Veamos cada nivel:

PLANIFICAR (Plan): consiste en establecer el contexto. En este nivel:

  • Se crean las políticas de seguridad
  • Se describe el alcance del SGSI
  • Se hace el análisis de riesgos
  • Se hace la selección de controles
  • Estado de aplicabilidad


HACER (Do): consiste en implementar el sistema

  • Implementar el sistema de gestión de seguridad de la información
  • Implementar el plan de riesgos
  • Implementar los controles


VERIFICAR (Check): consiste en monitorear y revisar

  • Monitorea las actividades
  • Revisa
  • Hace auditorías internas


ACTUAR (Act): consiste en ejecutar tareas de mantenimiento y propuestas de mejora

  • Implementa mejoras
  • Acciones preventivas
  • Acciones correctivas

Capacitación en seguridad informática

Un plan de gestión de seguridad informática no puede existir sin capacitación especializada en las nuevas amenazas y en cómo contrarrestar las mismas.

La certificación en seguridad que más se busca hoy en día es la CISSP (Certified Information Systems Security Professional) es una certificación desarrollada y mantenida por (ISC)² (International Information Systems Security Certification Consortium). Es considerada la certificación de mayor reconocimiento a nivel mundial, en la industria de la seguridad informática. Las estadísticas dicen que tiene un 48% de preferencia.

En este enlace tienes un artículo relacionado con la capacitación CISSP.

Le siguen la GIAC, CISA, CISM, SSCP y otras que empiezan a ser requeridas por los profesionales de redes y seguridad informática.