Seguridad de la Información

Seguridad de la InformaciónLa seguridad de la información puede ser confusa para algunas personas o, tal vez, para la mayoría de la gente. ¿Por qué es confusa la seguridad de la información? Tal vez sea porque echamos de menos algunos de los conceptos básicos.

Los conceptos básicos se pueden resumir explicando el «Qué, por qué, quién, cuándo y dónde» de la seguridad de la información.

Las cinco preguntas de seguridad de la información son:

 

  1. ¿Qué es la seguridad de la información?
  2. ¿Por qué necesita seguridad de la información?
  3. ¿Quién es responsable de la seguridad de la información?
  4. ¿Cuándo es el momento adecuado para abordar la seguridad de la información?
  5. ¿Dónde se aplica la seguridad de la información?


¿Qué es la seguridad de la información?

Fundamentalmente, la seguridad de la información es la aplicación de controles administrativos, físicos y técnicos en un esfuerzo por proteger la confidencialidad, integridad y / o disponibilidad de información.

Para que podamos entender esta declaración, debemos comprender algunos conceptos bien establecidos; Control administrativo, control físico, control técnico, confidencialidad, integridad y disponibilidad. Comenzaremos con los controles.

Control administrativo: Aborda los factores humanos de la seguridad de la información. Normalmente, los controles administrativos vienen en forma de directivas de gestión, políticas, directrices, estándares y / o procedimientos. Buenos ejemplos de controles administrativos son:

  • Políticas
  • Programas de capacitación y concienciación
  • Planes de continuidad de negocios y / o recuperación de desastres
  • Procedimientos de contratación y terminación

Control físico: Aborda los factores físicos de la seguridad de la información. Los controles físicos suelen ser el tipo de control más fácil con el que se relacionan las personas.

Los controles físicos generalmente pueden ser tocados y / o vistos. Controlan el acceso físico a la información. Buenos ejemplos de controles físicos son:

  • Cerraduras
  • Cercas
  • Sistemas de alarma de edificios
  • Materiales de construcción

Control técnico: Aborda los factores técnicos de la seguridad de la información. Los controles técnicos utilizan la tecnología para controlar el acceso. Gran parte de la información que usamos todos los días no se puede tocar, y muchas veces el control tampoco puede ser. Buenos ejemplos de controles técnicos son:

  • Firewalls
  • Listas de control de acceso
  • Permisos de archivos
  • Software antivirus

 

¿Por qué necesita seguridad de la información?

Esto a veces es difícil de responder porque la respuesta parece obvia. ¿No? Sigue leyendo

Como sabemos por la sección anterior, la seguridad de la información trata de proteger la confidencialidad, integridad y disponibilidad. Responda estas preguntas:

  1. ¿debe ser confidencial (secreto)?
  2. ¿necesita ser precisa?
  3. ¿debe estar disponible cuando lo necesite?

Si respondió sí a cualquiera de estas preguntas, entonces necesita la seguridad de la información.

Necesitamos seguridad de la información para reducir el riesgo de divulgación, modificación y destrucción no autorizadas de la información. También para reducir el riesgo a un nivel que sea aceptable para la empresa (administración) y, como no, para mejorar la forma en que hacemos negocios.

¿Quién es responsable de la seguridad de la información?

Esta es una fácil. ¡Todos somos responsables! Una mejor pregunta podría ser «¿Quién es responsable de qué?». Enfoque de arriba hacia abajo:

Alta gerencia 

En primer lugar, la seguridad de la información debe comenzar en la parte superior. El «top» es la alta dirección y el «inicio» es el compromiso. La alta gerencia debe comprometerse para que sea efectiva. Esto no se puede enfatizar lo suficiente. El compromiso de la alta dirección debe ser comunicado y comprendido por todo el personal de la empresa y los socios externos.

El compromiso comunicado a menudo viene en forma de política. La alta gerencia demuestra el compromiso al participar activamente en la estrategia de seguridad de la información, la aceptación del riesgo y la aprobación del presupuesto, entre otras cosas.

Sin el compromiso de la alta dirección, es un esfuerzo inútil.

Líderes de unidades de negocios 

Tenga en cuenta que una empresa está en el negocio para ganar dinero. Ganar dinero es el objetivo principal, y proteger la información que impulsa el negocio es un objetivo secundario (y de apoyo). El personal debe comprender cómo la empresa utiliza la información. De lo contrario, se pueden producir controles ineficaces y obstrucción del proceso.

Podría decirse que nadie sabe cómo se usa la información para cumplir los objetivos comerciales más que los empleados. Si bien no es práctico incorporar la opinión de cada empleado en un programa de seguridad de la información, es práctico buscar las opiniones de las personas que representan a cada empleado. Establecer un comité directivo compuesto por líderes de unidades de negocios. Los líderes de las unidades de negocios deben asegurarse de que penetre a través de sus respectivas organizaciones dentro de la empresa.

Empleados 

Todos los empleados son responsables de comprender y cumplir con todas las políticas y la documentación de respaldo (pautas, estándares y procedimientos). Los empleados son responsables de buscar orientación cuando las implicaciones de seguridad de sus acciones (o acciones planificadas) no se comprenden bien. El personal de seguridad necesita empleados para participar, observar e informar.

Terceros

Los terceros, como contratistas y proveedores, deben proteger su información comercial al menos tan bien como lo hace usted mismo. Los requisitos de seguridad deben incluirse en los acuerdos contractuales. Su derecho a auditar los controles de seguridad de terceros también debe incluirse en los contratos, siempre que sea posible. La responsabilidad del tercero es cumplir con el lenguaje contenido en los contratos.

¿Cuándo es el momento adecuado para abordar la seguridad de la información?

En la superficie, la respuesta es simple. El momento adecuado para abordarla es ahora y siempre.

Hay un par de características, buena y efectiva, que se aplican aquí.

Debe ser holística. No es un problema de TI, ni más ni menos que un problema de contabilidad o de recursos humanos. Es un asunto de negocios.

Un empleado descontento es tan peligroso como un hacker de Europa del Este. Un numero de cuenta impreso arrojado a la basura puede causar tanto daño como una copia de seguridad perdida. Te dan la imagen.

Debe integrarse en el negocio y debe considerarse en la mayoría de las decisiones comerciales (si no en todas). Este punto subraya la importancia de abordarla.

Es una disciplina del ciclo de vida. Para que sea efectivo, su programa debe cambiar constantemente, evolucionar constantemente y mejorar continuamente.

Las empresas y los entornos en los que operan están cambiando constantemente. Un negocio que no se adapta está muerto. Un programa que no se adapta también está muerto.

Este es solo otro punto para enfatizar la importancia de abordarla todo el tiempo. Quizás su empresa aún no lo haya diseñado y / o implementado.

¿Cuándo es el momento adecuado para implementarlo? ¿Cuándo es el momento adecuado para actualizarlo? Tienes la opción de ser proactivo o reactivo. La seguridad proactiva siempre es menos costosa.

¿Dónde se aplica la seguridad de la información?

Puede recordar de nuestra definición en «¿Qué es la seguridad de la información?», Que, fundamentalmente, es:

La aplicación de controles administrativos, físicos y técnicos en un esfuerzo por proteger la confidencialidad, integridad y disponibilidad de la información.

Para obtener el mayor beneficio, debe aplicarse a la empresa en su conjunto. Una debilidad en una parte del programa afecta a todo el programa. Ahora estamos empezando a entender dónde se aplica en su organización. Se aplica en toda la empresa.

La seguridad de la información NO es un problema de TI

¿Dónde se aplica? Se aplica en toda su organización. Una evaluación lo ayudará a determinar dónde es suficiente y dónde puede faltar en su organización.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Salir de la versión móvil