20 - Políticas de Seguridad de la Información (I) - 20/11/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Ver Segundo Artículo: Políticas de Seguridad de la Información (II)

Ver Último Artículo: Políticas de Seguridad de la Información (y III)

Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.

En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.

Como aprendimos en la escuela siempre que hay un proceso de comunicación los elementos que intervienen son: la información transmitida, el emisor, el medio por el cual se transmite y el receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos identificar lo que la SI debe proteger:

  • a información
  • los equipos que la soportan
  • las personas que la utilizan

El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.

Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.

Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.

Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:

  • CONFIDENCIALIDAD: la información debe ser accesible sólo a aquellas personas autorizadas a tal fin.
  • INTEGRIDAD: la información y sus métodos de procesamiento deben ser completos y exactos.
  • DISPONIBILIDAD: la información y sus recursos relacionados deben estar disponibles cada vez que se los requiera.

Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.

Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.

Buenos Aires, 20 de noviembre de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto