Protección de Activos: Seguridad de la Información en las Organizaciones

Clasificado en Economía

Escrito el en español con un tamaño de 4,81 KB

La Seguridad de la Información consiste en proteger uno de los activos más importantes de cualquier negocio: la información.

Riesgo

El riesgo se define como la probabilidad de que una amenaza se materialice, considerando el nivel de vulnerabilidad existente de un activo. Esto puede generar un impacto negativo específico, representado por pérdidas y daños.

Seguridad de la Información

La información, al igual que otros activos importantes, posee un valor significativo y, por lo tanto, requiere una protección adecuada. La información puede presentarse en diversos formatos:

  • Impresa o escrita en papel.
  • Almacenada electrónicamente.
  • Transmitida por correo o medios electrónicos.
  • Mostrada en videos.
  • Expresada verbalmente en conversaciones (grabadas).

Independientemente de su forma o medio de almacenamiento o transmisión, la información debe ser protegida adecuadamente.

La seguridad de la información se caracteriza por los siguientes atributos:

  • Confidencialidad: Garantiza que solo las personas autorizadas puedan acceder a la información.
  • Integridad: Asegura que la información y sus métodos de procesamiento sean exactos y completos.
  • Disponibilidad: Garantiza que los usuarios autorizados tengan acceso a la información y a los activos asociados cuando lo requieran.

Vulnerabilidades Comunes

Algunas de las vulnerabilidades más frecuentes en las organizaciones incluyen:

  • Compromiso inadecuado por parte de la dirección.
  • Personal insuficientemente capacitado y concienciado.
  • Asignación inadecuada de responsabilidades.
  • Ausencia de políticas y procedimientos.
  • Falta de controles (físicos/lógicos, disuasivos/preventivos/detectivos/correctivos).
  • Ausencia de reportes de incidentes y vulnerabilidades.
  • Seguimiento y monitoreo inadecuado de los controles.

Tipos de Amenazas

Las amenazas a la seguridad de la información pueden clasificarse en las siguientes categorías:

  • Amenazas Humanas
  • Amenazas Operacionales
  • Amenazas a Instalaciones
  • Amenazas Tecnológicas
  • Amenazas Naturales
  • Amenazas Sociales

Tipos de Vulnerabilidades

Las vulnerabilidades pueden estar relacionadas con:

  • Control de Acceso
  • Seguridad de los Recursos Humanos
  • Seguridad Física y Ambiental
  • Gestión de Operaciones y Comunicación

Ejemplos de Amenazas

  • Escalamiento de privilegios
  • Exploits
  • Puertos vulnerables abiertos
  • Inexistencia de backups
  • Escaneo de puertos (port scanning)
  • Falta de actualización de software
  • Fraudes informáticos
  • Virus
  • Violación de contraseñas
  • Captura remota de equipos
  • Robo de información
  • Acceso clandestino a redes
  • Interceptación de comunicaciones (voz y wireless)

Determinación de los Requisitos de Seguridad

Los requisitos de seguridad se determinan a partir de tres fuentes principales:

  1. Evaluación de Riesgos: Se identifican las amenazas a los activos, se evalúa la vulnerabilidad y la probabilidad de ocurrencia, y se estima el posible impacto.
  2. Requisitos Legales y Contractuales: Se consideran los requisitos legales, estatutarios, regulatorios y contractuales que la organización, sus socios comerciales, contratistas y proveedores de servicios deben cumplir.
  3. Principios y Objetivos Organizacionales: Se establecen los principios, objetivos y requisitos que la organización ha desarrollado para respaldar sus operaciones.

Relación Costo/Seguridad

La relación entre el costo de la seguridad y el nivel de exposición al riesgo es crucial. Se busca un nivel óptimo de seguridad donde la inversión en seguridad sea proporcional al riesgo asumido. La seguridad debe tener sentido para el negocio.

Sistema de Gestión de Seguridad de la Información (SGSI)

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un sistema gerencial basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información. El SGSI forma parte del sistema de gestión general de la empresa y se enfoca en:

  • Establecer
  • Implementar
  • Operar
  • Monitorear
  • Mantener
  • Mejorar

la seguridad de la información, utilizando un enfoque basado en los riesgos del negocio.

Karma: 19%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Seguridad de la informacion amenazas seguridad de la información vulnerabilidades riesgos