Conocimiento de gestión aplicado
Por Jorge Chinea Edición: 1
Se entiende por seguridad de la información (SI en adelante) a todas aquellas medidas preventivas y reactivas de una organización que permitan resguardar y proteger la información buscando mantener las siguientes características de la información:
• Su Confidencialidad: consiste en evitar que personas, programas o sistemas no autorizados puedan acceder a ella sin autorización.
• Su Integridad: es la característica de la información relativa a su fiabilidad. Su protección consiste en que la información no sea alterada o modificada sin autorización.
• Su Disponibilidad: este aspecto hace referencia a que la información esté accesible, es decir, disponible para su utilización cuando sea necesaria.
La SI tiene en cuenta no solamente la seguridad tecnológica, sino también otras facetas de la seguridad, como son la seguridad desde el punto de vista jurídico, desde el punto de vista normativo y desde el punto de vista organizativo.
La Seguridad de la Información se basa en un marco legal relacionado con las tecnologías de la información que está compuesto por un conjunto de normativas y leyes vigentes en España. La más conocida es la LOPD (Ley Orgánica 15/1999, de 13 de diciembre de protección de datos), que tiene por objeto garantizar y proteger el tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Además, existen otras normativas importantes como
La SI aplicada al negocio tiene tres facetas principales: responsabilidad y productividad, imagen y competitividad y contingencias y continuidad de la actividad.
La SI también es un camino para identificar malos hábitos y usos inadecuados de los recursos de la organización, y buscar la manera de implementar buenas prácticas y hábitos más correctos y responsables.
Estos hábitos no tienen por qué ser necesariamente perjudiciales pero pueden poner en riesgo la actividad de una organización en forma de pérdida de tiempo, retrasos en la actividad, uso inadecuado de los recursos disponibles, etc. Todo ello puede generar riesgos para la seguridad y por tanto, puede acarrear problemas relacionados con la integridad, la disponibilidad y la confidencialidad de la información.
Si quiere conocer otros conceptos de gestión, puede acceder a la plataforma abierta y gratuita http://sugestion.quned.es/ que es un proyecto de Responsabilidad Social Intelectual de la Cátedra de Calidad de la Universidad Nacional de Educación a Distancia (UNED) compartido con los profesionales que han redactado las fichas.
REDER | Algunas Aplicaciones | Algunos Soportes Observables |
---|---|---|
R | Establecer criterios de tolerancia en variables críticas de información | Estándares en variables críticas |
E | Preparar acciones preventivas y correctivas (de choque) para posibles situaciones críticas | Plan de Seguridad en la Información |
D | Comunicación para la concienciación y adquisición de buenos hábitos | Guía de buenas prácticas |
E | Evaluación de riesgos y ejecución del plan | Informes de riesgos y de desarrollo del Plan |
R | Análisis de impactos | Informes de Amenazas e Impactos |
¿Existe ambiente de seguridad en su organización? |
¿Cuenta su organización de plan de seguridad? |
¿Se realizan en su organización auditorías de seguridad periódicas? |
¿Se realizan en su organización campañas de concienciación de seguridad periódicas? |
Dispone su empresa de un responsable de Gestión de la Información |
¿Se hecho en su organización una evaluación de riesgos de seguridad? |
¿Dispone su organización de un plan de contingencia? |
¿Se encuentran definidos en algún sitio los activos de información de su organización? |
¿Realizan los trabajadores cursos de seguridad de la Información? |
¿Se investigan los incidentes de seguridad y se toman las medidas necesarias para que no vuelvan a ocurrir? |
Autor: Jorge Chinea | Cargo: | |
Empresa/organización: INTECO-CERT (Instituto Nacional de Tecnologías de la Comunicación) | ||
Actividad: Apoyo preventivo y reactivo en materia de Seguridad en TIC | Contacto: www.cert.inteco.es |