Built by Mindjet LLC
sábado, 27 de septiembre de 2008
sábado, 13 de septiembre de 2008
Conceptos básicos
El tema de la Seguridad de la Información, no es un tema exclusivo para especialistas en tecnología. En el marco corporativo de cualquier organización, son personas ajenas al tema tecnológico quienes crean, usan, tratan y almacenan la información. Y me refiero a usuarios internos, externos, clientes, proveedores y accionistas, entre otros. En tal sentido, es fundamental citar todos los conceptos que de cualquier forma se utilizarán en cada una de las publicaciones de éste foro. Iniciaremos con lo básico;
¿Que es la Seguridad de la Información?
En términos de la Norma ISO 27001, se define cómo la protección de la información contra una gran variedad de amenazas, con el fín de asegurar la continuidad de una Empresa, minimizar el riesgo y maximizar el retorno de la inversión y las oportunidades de negocio.
Esta definición involucra varios términos y finaliza con los que en últimas son de especial interés para una sociedad de negocios. Y precisamente es en éstos primeros donde tanto el concepto como los esfuerzos económicos que se requieren en una organización no son fructiferos, en razón a que las inversiones en seguridad, aún hoy en dia para muchas organizaciones, no son definitivamente lucrativas ni rentables.Sobre los mencionados de color rojo me referiré a lo último. Empecemos entonces, por describir los términos que forman parte de ésta definición inicial:
Sobre los mencionados de color rojo me referiré a lo último. Empecemos entonces, por describir los términos que forman parte de ésta definición inicial:
¿Que es una Amenaza?
Una amenaza es un fenómeno o proceso natural o causado por el ser humano que puede poner en peligro a un grupo de personas, sus cosas y su ambiente, activos de información(1), cuando no son precavidos. Existen diferentes tipos de amenazas. Algunas son naturales, otras son provocadas por el ser humano, como las llamadas industriales o tecnológicas (explosiones, incendios y derrames de sustancias tóxicas).
(1) Este agregado es mio. Tomado de: http://www.eird.org/fulltext/riesgolandia/booklet-spa/page4-spa.pdf
¿Que es una Vulnerabilidad?
En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones(2). Y aqui es donde nace una primera diferenciación entre el significado de la Seguridad de la información (anteriormente expresado) y la Seguridad informática: ¿Que es la seguridad informática? es una disciplina que se relaciona a diversas técnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios(2).
La debilidad a la que se hace referencia en la parte inicial de la definición de la vulnerabidad, es una situación que se expresa en términos de la amenaza. Ej. Dejar desatendido un computador que además de estar conectado a la red corporativa y que tiene activo un sistema de información de misión critica, facilita que personas extrañas (internas o externas) en ese preciso momento; o bien conozcan o bien dañen, alteren o supriman la información del sistema(1).
¿Que es Continuidad?
Son todos los esfuerzos (procesos, procedimientos, estándares, controles y demas medidas) tendientes a garantizar que ante la materialización de una amenaza (desastre o siniestro) se garantiza la continuidad de la operación de la empresa. Estos esfuerzos involucran actividades preparatorias (antes de) y simulacros para que se pueda controlar la crisis. desde luego que la concepción de la continuidad en una compañía no es lucrativa, si se piensa en la asignación de recursos y la preparación y entrenamiento del personal clave. No obstante, se conoce que es menor el costos de inversión que el costo correctivo cuando no se esta preparado y se requiere volver a poner una compañía en operación normal.
¿Que es Información? (2)
En sentido general, la información es un conjunto organizado de datos procesados, que constituyen un mensaje sobre un determinado ente o fenómeno. De esta manera, si por ejemplo organizamos datos sobre un país, tales como: número de habitantes, densidad de población, nombre del presidente, etc. y escribimos por ejemplo, el capítulo de un libro, podemos decir que ese capítulo constituye información sobre ese país. Cuando tenemos que resolver un determinado problema o tenemos que tomar una decisión, empleamos diversas fuentes de información (como podría ser el capítulo mencionado de este libro imaginario), y construimos lo que en general se denomina conocimiento o información organizada que permite la resolución de problemas o la toma de decisiones (ver apartado sobre conocimiento). Según otro punto de vista, la información es un fenómeno que proporciona significado o sentido a las cosas, e indica mediante códigos y conjuntos de datos, los modelos del pensamiento humano. La información por tanto, procesa y genera el conocimiento humano. Aunque muchos seres vivos se comunican transmitiendo información para su supervivencia, la diferencia de los seres humanos radica en su capacidad de generar y perfeccionar tanto códigos como símbolos con significados que conformaron lenguajes comunes útiles para la convivencia en sociedad, a partir del establecimiento de sistemas de señales y lenguajes para la comunicación. Los datos se perciben mediante los sentidos, éstos los integran y generan la información necesaria para producir el conocimiento que es el que finalmente permite tomar decisiones para realizar las acciones cotidianas que aseguran la existencia social. La sabiduría consiste en juzgar correctamente cuando, cómo, donde y con qué objetivo emplear el conocimiento adquirido. El ser humano ha logrado simbolizar los datos en forma representativa (lenguaje) para posibilitar el conocimiento de algo concreto y creó las formas de almacenar y utilizar el conocimiento representado. Existe una relación indisoluble entre los datos, la información, el conocimiento, el pensamiento y el lenguaje, por lo que una mejor comprensión de los conceptos sobre información redundará en un aumento del conocimiento, ampliando así las posibilidades del pensamiento humano, que también emplea el lenguaje -oral, escrito, gesticular, etc.-, y un sistema de señales y símbolos interrelacionados.
¿Que es Protección?
Son todas aquellas medidas (controles) tendientes a contrarrestar el efecto negativo que pueda tener la presencia de una amenaza. Ej. Una poliza de seguro, alivia en un porcentaje, el costo de recuperar un activo declarado perdido total o parcialmente. el conjunto de medidas de protección estan debidamente definidos en la norma ISO 27002 (anterior ISO 17799) en cuanto a seguridad de la información se refiere. Este tema lo detallaré en otro articulo.
¿Que es Riesgo?
Es la posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización y que las consecuencias negativas que atañen al impacto en la información, generen perdidas o la interrupción del negocio. Este tema tambien lo derallaré en profundidad en otro articulo
Suscribirse a:
Entradas (Atom)
