Código de practica para la administración de la seguridad de la información.

Introducción.

• La seguridad de la información se utiliza con el fin de ejemplificar las normas relativas a la tecnologías de la información , se debe entender que toda norma tiene un ámbito genérico( de propósito o aplicación general) que deberá llevarse a la realidad de la organización a la que sirve.

siguiente

¿Qué es la seguridad de la información?

• La información es un recurso que como el resto de los importantes activos comerciales, tiene valor para la organización y por consiguiente debe ser debidamente protegida.

• La información puede existir en muchas formas, puede estar impresa o escrita en papel, almacenada electrónicamente, presentada en imágenes o trasmitidas por medios electrónicos

• No importa la forma en que se distribuya debe ser adecuadamente protegida.

La seguridad de la información se define con las siguientes características

• Confidencialidad: la información es facilitada solo a personal autorizado.

• Integridad: se guarda con exactitud y totalidad la información y los métodos de procesamiento.

• Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella.

Porque es necesaria la seguridad de la información.

• La confidencialidad, integridad, disponibilidad de la información, flujo de fondos y el cumplimiento de las leyes, son esenciales para mantener la ventaja competitiva.

• Las redes y los sistemas de información se enfrentan en forma creciente con amenazas relativas a la seguridad de diversos orígenes como:

• Fraude asistido por computadoras, espionaje, sabotaje, vandalismo, la interconexión de las redes publicas y privadas, el uso compartido de los recursos de información, incendio o inundación etc..

Como establecer los requerimientos de seguridad.• Es normal que una organización identifique

sus requerimientos de seguridad y para ello ay que considerar tres pasos principales.

Primero ay que evaluar los riesgos que enfrenta la organización identificando las posibles amenazas que puedan dañar la información. Hay que evaluar las vulnerabilidades de ocurrencia.

El segundo recurso esta constituido por los requisitos legales, normativos y reglamentarios que debe cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicio.

El tercer recurso es el conjunto especifico de principios, objetivos y requisitos para el procesamiento de la información que a desarrollado la organización para respaldar sus operaciones.

Evaluación de los riesgos en materia de seguridad.

• Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad.

• Par ello debemos considerar los siguientes puntos:

Impacto potencial de una falla de seguridad en los negocios tomando en cuenta las posibles consecuencias de la perdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos.

Probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades y predominantes y los controles actualmente implementados.

Es importante llevar acabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a fin de:

reflejar los cambios en los requerimientos y prioridades de la empresa.

Considerar nuevas amenazas y vulnerabilidades.Corroborar que los controles sigan siendo eficaces y

apropiados.

Las revisiones deben

llevarse acabo en

diferentes niveles de

profundidad según los

resultados de las

evaluaciones

anteriores.