CLASE 15 DE FEBRERO
Posteriormente hemos pasado a continuar con el tema 4, tratando las dimensiones de la seguridad, que son:
- Disponibilidad: cuando nos registramos, la información tiene que estar disponible.
- Autenticidad: la información no tiene que sufrir modificaciones, sino que tiene que ser totalmente correcta.
- Integridad: hace referencia a que la información tiene que estar completa.
- Confidencialidad: dicha información solo debe ser disponible para aquellas personas que tengan los permisos requeridos.
- Trazabilidad: consiste en que debemos realizar un seguimiento de los usuarios que acceden a la información.
También hemos visto los principios básicos de la seguridad. El primer principio es quién necesita conocer (necesidad de conocer), ligado al principio de mínimo privilegio, donde nos hemos hecho la pregunta de si somos administradores plenos de derecho o no en nuestro ordenador. Una medida de seguridad sería tener en el ordenador dos usuarios, uno con plenos derechos y otros que no lo tuvieran, que seria el usuario que deberíamos usar para evitar problemas en la red, lo que está ligado al principio de separación de funciones. Posteriormente llegamos al principio de la defensa en profundidad, donde encontramos distintas etapas de defensa, es una estrategia de protección con múltiples capas de seguridad para reducir el riesgo o minimizar el impacto del sabotaje, la intrusión, virus, accesos desautorizados y loss. Encontramos algunas estrategias de protección como los firewalls, los métodos de autenticación o los métodos para evitar la pérdida de datos. El eslabón más débil de esta cadena de seguridad somos nosotros, los humanos, la mayoría de ataques se producen porque hay errores en la acción humana.
Para poder llevar a cabo una buena protección, es necesario examinar muy bien el terreno en el que nos encontramos, realizando un estudio de las amenazas, vulnerabilidades, riesgos... Podemos llevar a cabo distintas medidas preventivas, como la contratación de seguros o los salvaguardas, pero realmente nunca vamos a ser capaces de eliminar al completo dichos riesgos.
Tras esto, hemos dado por finalizado el tema 4 y hemos comenzado el tema 5, relacionado con las normas, políticas y la gestión de la seguridad de la información.
El principal objetivo de la seguridad de la información como ya hemos visto anteriormente, es proteger el funcionamiento de una organización, ya sea de grandes o pequeñas dimensiones. Los activos de estas organizaciones son los elementos sobre los cuales actúa la seguridad, algunos serán primarios para el funcionamiento y otros necesarios simplemente como elementos de apoyo. De todos los activos, el mas importante es la información, tanto en formato papel, como correos electrónicos, bases de datos...
Como también he mencionado anteriormente, la seguridad nunca será absoluta, siempre debemos asumir algún riesgo. Para poder gestionar adecuadamente dicha seguridad, debemos utilizar los sistemas de gestión de seguridad (SGSI) para poder tomar las medidas adecuadas para minimizar los riesgos. Este SGSI nos asegura la continuidad de un negocio poniendo en balanza tanto el gasto en seguridad, como el impacto de los riesgos detectados. Esto quiere decir que deben pensar sobre el gasto en dicha seguridad y el daño que provocaría la pérdida de parte o todo el activo que tienen.
 |
| Esquema SGSI |
La gestión de esta seguridad es un proceso continuo denominado PDCA (plan-do-check-act). Hay diversos métodos que nos ayudan a ver las mejoras de la implantación de dicha seguridad para poder evaluarlo, como herramientas de dirección donde incluimos los cuadros de mando, diagramas de Pareto, diagramas de causa-efecto... que permiten ver las fortalezas y debilidades causadas.
Comentarios
Publicar un comentario