LA DIFUSIÓN DE INFORMACIÓN EN ARCHIVOS PÚBLICOS

...

Para finalizar la práctica y uso de tecnologías como apoyo en la seguridad de la información, es un factor dominante en las soluciones actuales, sin embargo aún existen debilidades que son explotadas por los atacantes, y van más allá de la infraestructura tecnológica, por lo anterior se hace necesario el desarrollo de un programa adecuado de concientización y capacitación en el tema de seguridad de la información, enfocado a todos los niveles de la organización, debidamente apoyado en las políticas de cada una sobre el tema y con un adecuado proceso de monitoreo y actualización.

ANTECEDENTES

Partiendo de la necesidad de determinar el estado de seguridad de la información mediante un diagnóstico en el Banco de la Republica y en vista de que actualmente se tiene una estructura institucional con la dotación y tecnología necesarias para desarrollarlas, se plantea realizar el análisis de riesgos a partir de la revisión de algunos antecedentes en la materia.

Existen diferentes estándares que se desarrollaron para gestionar la seguridad de la información, algunos más generales, algunos centrados en la gestión de riesgos (serie ISO/IEC 27000), y otros incluso tendientes a desarrollar un modelo de madurez de la seguridad de la información (por ejemplo ISM3); sin embargo, en la especificación de las mismos no se afronta su aplicación a un grupo empresarial, lo cual requiere consideraciones adicionales. Existe una metodología en implantación de un SGSI para un grupo empresarial jerárquico. (Pallas, 2009, p.4). Partiendo de lo anterior donde se describe la importancia de implantar un SGSI que permita dotar de seguridad todos los procesos productivos de las empresas de cualquier tipo y tamaño, muestra una metodología clara para realizar análisis de riesgo en un ambiente empresarial.

Para gestionar la seguridad de la información de una entidad se debe partir de una premisa fundamental y es que la seguridad absoluta no existe. Tomando lo anterior como punto de partida, una entidad puede adoptar algunas de las normas existentes en el mercado que establecen determinadas reglas o estándares que sirven de guía para gestionar la seguridad de la información. (Villena, 2006, p.6).

Muchos de los planteamientos y problemas en seguridad informática se encaminan a protegerse contra accesos no autorizados, pero este es un problema sencillo de resolver, ya que durante años se han desarrollado y perfeccionado medios para el cifrado de datos, para el intercambio seguro de información, para garantizar el correcto funcionamiento del software, que se ha traducido en herramientas capaces de proporcionar soluciones rápidas y sencillas a problemas técnicos de seguridad. Desafortunadamente, no es suficiente simplemente arreglar los errores o eliminar las fallas técnicas de seguridad, el problema va mucho más allá y la seguridad informática es un problema cultural, en el que el usuario juega un rol protagónico. “Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado” (Aguirre y Aristizabal, 2013, p.7).

Areitio (2008) afirma: “La tendencia, cada vez más dominante, hacia la interconectividad y la interoperabilidad de las redes, de las máquinas de computación, aplicaciones, e incluso de las empresas, ha situado a la seguridad de los sistemas de información como un elemento central en todo el desarrollo de la sociedad” (p.2).

La realización de análisis de riesgos de seguridad de la información permite cuantificar y comparar los requerimientos de seguridad de la información de las organizaciones con los controles implantados para su cumplimiento, y en base a las diferencias que puedan llegar a encontrarse se podrá definir que otros controles adicionales a los ya existentes para el cumplimiento de todos los requerimientos. “El ejercicio de análisis de riesgos no debe entenderse aislado del resto de iniciativas conducentes a asegurar un nivel de seguridad acorde con los requerimientos de la organización” (Matalobos, 2009, p.4).

REFERENCIAS

- Mastropierro, M. (2008). Archivos Públicos. Buenos Aires: Alfagrama Ediciones.

- Díaz, P. (2013). Acciones legales frente a la fuga de información confidencial de una organización. Agosto 31, 2016, de Activo Legal SAS Sitio web: http://www.activolegal.com/web/index.php/noticias/actualidad/538-fuga-informacion-confidencial-acciones-legales

- Pallas, G. (Diciembre, 2009).Metodología de implantación de un SGSI en un grupo empresarial jerárquico. Universidad de la República, Montevideo, Uruguay.

- Villena, M. (2006). Sistema de gestión de seguridad de información para una institución financiera. Pontificia Universidad Católica del Perú, Lima, Perú.

- Aguirre, J., & Aristizabal, C. (2013). Diseño del sistema de gestión de seguridad de la información para el grupo empresarial la ofrenda. Universidad Tecnológica de Pereira, Pereira, Colombia.

- Areitio, J. (2008). Seguridad de la información. Redes, informática y sistemas de información. Madrid, España: Paraninfo.

- Matalobos, J. (2009). Análisis de riesgos de seguridad de la información. Universidad Politécnica de Madrid, Madrid, España.