Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestion Del Riesgo en La Seguridad Informatica
Gestion Del Riesgo en La Seguridad Informatica
ABSTRACT
The paper include a record about author experience and real life , in his work like Chief of the
technology security and the electronis documation, betwen the years 2005 to 2009, in the
CGR of Chile.
In the same way, is refer to substantive topics about secutity policys and risk management
in the publics services in Chile.
There are one first topics inevitable, related with to setle the conceptual frame of the study.
Also include a chapter related to examine, based in the real experiences of the author, the
succes key in the risk mangememt of the information technology security.
Finally, an other topic outstanding that will be study in the presentation, is that related to the
design and start on of a mangement risk system for the information technology security.
INTRODUCCIN
El presente estudio, basado en buena parte en escenarios
empricos en que ha participado el autor, pretende ser una aportacin til al Torneo
Internacional y asimismo, una contribucin que anime el inters de los estudiosos y expertos
en el tema, para profundizar los comentarios y alcances que se han incluido.
Nos asiste la conviccin, y con el debido respeto por otras
opiniones, que el tema de la gestin del riesgo de la seguridad informtica en las instituciones
pblicas, se asocia ms b en con la urgente necesidad de contar con una Cultura de la
Seguridad debidamente operativa, ms que con disponer de sofisticados SW y HW para tales
efectos, que no obstante ser requeridos y necesarios, no cierran del todo el tema.
Pensamos que definir una estrategia para crear una cultura
corporativa de seguridad, debidamente difundida, conocida y apoyada por todos los miembros
de la organizacin, puede contribuir eficazmente , al urgente alineamiento del capital
intelectual en torno a sus demandas y exigencias.
Es muy improbable el cero riesgo, pero si se puede mitigar de manera importante, mediante
eficaces sistemas de control y la disponibilidad de mapas de riesgo.
Desde el punto de vista organizacional o corporativo es posible disponer de un modelo estratgico
de gestin del riesgo, que sea capaz de reducir sus impactos y mitigar los efectos y alcances,
cuando este sea inevitable asumir.
Un modelo estratgico de gestin del riesgo, an aceptando que
los modelos son solo aproximaciones, debera tener los siguientes elementos que, claramente,
permiten aumentan la capacidad del modelo para prevenir a la organizacin cuando ello es una
realidad sin vuelta:
Presencia de controles de seguridad necesarios para mitigar el riesgo asociado a la fuga
de informacin.
Desarrollo de una poltica de seguridad corporativa.
Amplio espacio para implementar controles efectivos.
Definicin de polticas de gestin de identidad y de accesos a la informacion
Decisiones slidas en cuanto a la relevancia de tener planes de promocin de una cultura
de seguridad
Inversiones en procedimientos electrnicos para la gestin de contenidos de la
documentacin electrnica (Knowledge Management)
Disposicin de soluciones integrales de cifrado de datos
Ahora bien, en nuestra propia experiencia en la CGR de Chile, rescatamos como una cuestin
trascendente, en cuanto a que la gestin del riesgo en la seguridad de la informtica y de la
documentacin electrnica, no pasa tanto por la riqueza en HW y SW, sino que lo hace ms bien,
por la riqueza del capital intelectual de la entidad y por como este , en un proceso de
conversaciones inteligentes de carcter permanente, es capaz de asociar la seguridad y sus
exigencias, con los logros en su propio bienestar, y con ello, asume una buena disposicin para
desarrollar un concepto de CULTURA DE LA SEGURIDAD INFORMATICA en la Institucin.
Apreciamos los siguientes como principios rectores para un modelo de Cultura de la Seguridad
Informtica:
CONOCIMIENTO: ESTO ES CONCIENCIA DE SU NECESIDAD
RESPONSABILIDAD: DE TODOS
SISTEMAS OPERATIVOS
APLICACIONES
REDES
SERVIDORES
DOCUMENTACION ELECTRONICA
INTRANET
INTERNET
LO FISICO
USUARIOS
En el modelo de gestin de la seguridad, es posible advertir algunos requisitos esenciales, para
asegurar su eficiencia, como los que se indican:
Nos parece interesante comentar algunos aspectos relativos a los principales problemas en
seguridad informtica, que suelen ser pan de cada da en la gestin informtica de las
organizaciones, y que, se resuelven con soluciones de la ms variada ndole, y en muchos casos
recurriendo al talento y creatividad de los propios usuarios de los sistemas.
As, podemos mencionar los incidentes mas frecuentes en esta materia:
NO COMPRENDER LOS OBJETIVOS GENERALES DE LA ORGANIZACIN
SEGURIDAD NO FUNCIONAL A ESOS OBJETIVOS
NO SE CONTRIBUYE A OPTIMIZAR LOS PROCESO DE NEGOCIOS
NO CONTROLAR EL CUMPLIMIENTO DE TIEMPOS Y RECURSOS
AUSENCIA DE PLANIFICACION Y EVALUACION EN DEMANDA DE RECURSOS.
Ahora bien, en el mundo real de las organizaciones pblicas en Chile, no se esta al margen de
ataques que traen consecuencia de diversa naturaleza y que pueden resumirse, de acuerdo a su
frecuencia, como sigue:
INTERCEPCION DE CONTRASEAS
ROTURA DE CONTRASEA
FALSIFICACIONDE IDENTIDADES
ROBO DE INFORMACION
DESTRUCCION DE DATOS
de los procesos y
DECISIONES EN SW DE SEGURIDAD
Importante, pero, cuidado con poner la carreta delante de los
bueyes.
10
CONCLUSIONES
Como una forma de contribuir a seguir avanzado en el tema, sealamos resumidamente
algunas reflexiones finales:
La gestin del riesgo en la seguridad informtica en la institucin, es responsabilidad de TODOS.
Lo esencial es crear y desarrollar, al interior de la organizacin, una CULTURA DE LA
SEGUIRIDAD.
El alineamiento del personal, con la estrategia de seguridad, es un FACTOR CLAVE DE XITO
del modelo que se resuelva implantar.
El compromiso e involucramiento de la alta direccin, HACE SUSTENTABLE el modelo.
En las decisiones de SW y HW, poner la carreta delante de los bueyes PUEDE SER FATAL.
BIBLIOGRAFIA
1. APUNTES PERSONALES DEL AUTOR
2. LIBRO ELECTRONICO DE SEGURIDAD INFORMATICA Y CRIPTOGRAFIA.
JORGE RAMI AGUIRRE
3. SECURITY ENGINEERING THE BOOK
ROSS ANDERSON 2 EDICION 2007
4. AUDITORIA DE SISTEMA Y POLITICAS DE SEGURIDAD INFORMTICAS
PAPER PUBLICADO EN MONOGRAFIAS.COM
11