Seguramente alguna vez escuchaste sobre la importancia de la seguridad de la información; aquí intentaremos desarrollar el tema, de manera que puedas tomar cartas en el asunto para tu propia cotidianeidad.
La Norma ISO/IEC 2700, que es una norma internacional, permite el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.
La información es un recurso que, como otros importantes activos comerciales, tiene valor para una organización y por consiguiente debe ser debidamente protegida. Ésta es especialmente importante en el ambiente de negocios cuya interconexión va creciendo día a día. Como resultado de este incremento de la interconectividad, la información ahora está expuesta a un número creciente y una variedad de amenazas y vulnerabilidades.
La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo postal o utilizando medios electrónicos, presentada en películas o transmitida verbalmente en una conversación. Cualquiera sea la forma que adquiera la información, o los medios por los cuales se distribuye o almacena, siempre debe estar protegida en forma adecuada.
La seguridad de la información es la protección de la información de una amplia variedad de amenazas, con el objeto de asegurar la continuidad del negocio, minimizar los riesgos y maximizar el retorno de la inversión y las oportunidades de negocio.
Ahora bien, todo esto es muy lindo...pero ¿cómo lo logro? La seguridad de la información se logra implementando un conjunto adecuado de controles, que incluye políticas, procesos, procedimientos, estructuras organizacionales y funciones del software y del hardware. Estos controles se deben establecer, implementar, supervisar, revisar y mejorar, cuando sea necesario, para garantizar que se alcancen los objetivos específicos de seguridad y los objetivos de negocio de la organización. Esto debe realizarse en conjunto con los otros procesos de la gestión del negocio.
¿Por qué es necesaria la seguridad de la información
Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y procedimientos adecuados. Se recomienda que la identificación de los controles a ser implementados se planifique en forma cuidadosa y con atención a todos los detalles. La gestión de la seguridad de la información requiere como mínimo de la participación de todos los empleados de la organización. Puede también requerir de la participación de los accionistas, proveedores, terceras partes, clientes u otras partes externas. También puede necesitarse del asesoramiento especializado de organizaciones externas.
¿Cómo establecer los requerimientos de seguridad?
Una de las fuentes proviene de evaluar los riesgos que afronta la organización, teniendo en cuenta la estrategia global del negocio y los objetivos de la organización. Mediante la evaluación de riesgos, se identifican las amenazas a los activos, se evalúan sus probabilidades de ocurrencia y las vulnerabilidades y se estima el impacto potencial.
Evaluación de los riesgos en materia de seguridad
Los resultados de esta evaluación ayudarán a orientar y a determinar la adecuada acción de la dirección y las prioridades para gestionar los riesgos concernientes a la seguridad de la información y para implementar los controles seleccionados a fin de brindar protección ante dichos riesgos
Es conveniente que la evaluación de los riesgos se repita periódicamente, para abarcar todos los cambios que podrían influenciar los resultados de dicha evaluación
Sabemos que este tema es muy técnico, pero si necesitas ayuda, ya sabes, contacta con nuestro experto informático ;)
Photo by Markus Spiske on Unsplash
