SISTEMA SEGURIDAD INFORMATICA.

...

El ISO 27001 viene a ser el estándar de gestión de seguridad de la información y debe realizarse mediante un proceso sistemático, documentado y conocido por toda la organización y al igual como lo es la ISO 9001 para la calidad, un Sistema de Gestión de la Seguridad de la Información (SGSI), podría considerarse como el sistema de calidad para la seguridad de la información; sin embargo, se debe precisar que es virtualmente imposible garantizar un nivel de protección total, incluso en el caso de disponerse de un presupuesto ilimitado y dado que ya no existe la opción de estar 100% seguros, las organizaciones deben crear una estrategia enfocada que proteja la información más importante y que responda rápidamente cuando ocurra una violación.

Por lo tanto, el propósito de un sistema de gestión de la seguridad de la información es garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías

Un sistema de gestión de la seguridad de la información debe buscar un equilibrio entre el nivel de seguridad y el costo y, como premisa inicial debe plantearse dos preguntas importantes[2]:

- ¿Cuáles son las medidas que las compañías deben tomar en el mundo hiperconectado y sin fronteras de hoy?

- ¿En qué momento las empresas son lo suficientemente seguras?

Por otro lado, los avances tecnológicos por las tendencias de utilizar elementos como las redes sociales, la computación en la nube (cloud computing) y el uso de dispositivos personales móviles en la empresa (byod - bring your own device)han creado un acceso a la información que es demasiado grande para las barreras incrementando cambios en el entorno de riesgo que enfrenta las organizaciones. En esa medida, es tiempo de replantear los programas de seguridad de la información y las estrategias que las compañías deben utilizar para mantener a salvo sus activos más valiosos aprendiendo a aceptar el cambio de manera segura.

1.2 Bases que sustentan el Sistema de Gestión de la Seguridad de la Información

La información es un activo que las organizaciones consideran como esencial para el desarrollo de sus actividades y debe ser protegida. Según la norma ISO 27001, la seguridad de la información se sustenta en los principios de preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento dentro de una organización.

Tres son los términos base que sustenta el edificio de la seguridad de la información[3]:

- Confidencialidad: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma; Esto es que la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.

- Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento, mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.

- Disponibilidad: Se garantiza que los usuarios autorizados (individuos, entidades o procesos autorizados), tienen acceso y utilización de la información, los sistemas de tratamiento y a los recursos relacionados con la misma toda vez que lo requieran.

1.3 Utilidad de un Sistema de Gestión de Seguridad Informática

Como se ha señalado, los procesos y los sistemas que manejan y administran los datos y la información, son activos muy importantes de una organización. La confidencialidad, integridad y disponibilidad de información sensible son esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

El cumplimiento de la legalidad, la adaptación a las condiciones variables del entorno, la protección adecuada de los objetivos de negocio para asegurar el máximo beneficio y/o aprovechar nuevas oportunidades de negocio, son algunos de los aspectos fundamentales en la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Finalmente, el modelo de gestión de la seguridad debe contemplar procedimientos adecuados así como la planificación e implantación de controles de seguridad basados en una evaluación de riesgos y una medición de la eficacia de los mismos. En esa medida, en la gestión efectiva de la seguridad debe tomar parte activa toda la organización, con la gerencia al frente, tomando en consideración también a clientes y proveedores de bienes y servicios pues el nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo.

1.4 Panorámica de la gestión de la Seguridad de la Información en el país

Estamos ante nuevos escenarios y las organizaciones son cada vez más dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez más vulnerables a las amenazas concernientes a su seguridad y la información debe considerarse como un recurso de las Organizaciones que tiene valor para éstas y al igual que el resto de los activos, deben estar debidamente protegida[4]

La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) apoya a las entidades públicas brindando los siguientes servicios:

- Análisis de vulnerabilidades de los servidores Web de las Entidades Públicas.

- Boletines de Seguridad de la información

- Boletines de Alertas de Antivirus.

- Presentaciones técnicas sobre seguridad.

- Consultorías y apoyo en recomendaciones técnicas.

El gobierno central ha emitido desde el año 2002 diferentes normas referidas a seguridad de la información, entre las cuales podemos resaltar las siguientes:

- “Modificación de las normas y procedimientos técnicos sobre contenidos de las páginas web”.

- “Normas técnicas para el almacenamiento y respaldo de la información procesada por las entidades de la administración pública”.

- Directiva sobre "Normas para el