Gobierno de la Seguridad de la Información

Gobierno, Gerencia, Jefatura, Gestión; Dirección y muchos otros nombres que queramos poner delante de “Seguridad de la Información” no son de lo más trascendental. Todos ellos, convergen en proteger el activo más importante en la actualidad para una organización, la información.

La seguridad de la información se encarga o debiera encargarse de mantener protegida la información de una organización abarcando todas las formas en la que se pueda expresar. Controlando la transmisión, el procesamiento y correcto almacenamiento de la misma.

Comprende muchos aspectos a tener en cuenta:

  • Gestión de riesgos.
  • Normativas de seguridad: políticas, normas, guías, procedimientos, procesos, estándares.
  • Clasificación de la información.
  • Organización de la seguridad.
  • Educación en seguridad.
  • Definición e implementación de controles.
  • Seguimiento y mejora continuos.

Establecer y mantener un Programa Integral de Seguridad es elemental. Debiendo este garantizar la existencia de los 3 pilares básicos de la Seguridad de la Información:

  • Confidencialidad

Entendemos por confidencialidad a la cualidad que poseen los datos/información de no ser accedida o divulgada por personas o sistemas no autorizados. Lo contrario: revelación.

Solo deben acceder a los datos/información el personal autorizado y de manera autorizada. Debiéndose cumplimentar aquí la identificación, autenticación y autorización del mismo.

Identificación: es la forma en la cual los usuarios comunican su identidad a un sistema. Es un paso necesario e indispensable para lograr la autenticación y autorización de ingreso al sistema.

Autenticación: es el proceso por el cual se prueba que la información de identificación se corresponde con el sujeto que la presenta.

Autorización: son los derechos y permisos otorgados a un usuario o proceso que le asisten para acceder a un recurso del sistema/computadora. La autorización es el último paso logrado la identificación y autenticación del usuario.

  • Integridad

La integridad hace referencia a la cualidad de la información de ser correcta y no haber sido modificada. Sin manipulaciones, ni alteraciones por parte de terceros. Lo contrario: modificación.

Toda modificación de datos/información es realizada por personas autorizadas de manera autorizada. Como así, los procesos de manipulación de los mismos.

Aquí, debemos hacer hincapié en la responsabilidad para determinar las acciones individuales de los usuarios, donde y cuando un usuario efectuó una modificación en un sistema, y para identificar unívocamente a dicho usuario. Usualmente se emplean registros de log de auditoría.

  • Disponibilidad

La información tiene que estar siempre disponible cuando la necesitan las personas autorizadas. Para accedida a través de los canales adecuados siguiendo los procesos correctos. Lo contrario: Destrucción / interrupción.

Otros conceptos generales

Privacidad no es lo mismo que Confidencialidad.

La privacidad es un principio que busca proteger la información del individuo empleando controles para garantizar que la misma no sea difundida o accedida en forma no autorizada. Mientras que el objetivo de la confidencialidad es que la información no sea revelada a personas no autorizadas.

Otro principio importante es el de “No repudio”. El mismo evita que él responsable de una transacción niegue posteriormente haberla realizado.



FUENTE: Banchiero, O., 2015. Gobierno de la Seguridad de la Información y Gestión del Riesgo. Diplomatura de Experto en Seguridad de la Información. 2015. Universidad Tecnológica de Buenos Aires.