La Seguridad de la Información es usualmente un tema poco entendido en una

organización. Anteriormente, los ambientes centralizados de computación eran bastante

controlados y normados, a los que muy pocos tenían acceso. Sin embargo, con la
aparición de la tecnología cliente-servidor, el desarrollo que ha tenido el ambiente
distribuido y la tecnología de redes, y en especial con la aparición y desarrollo del Internet
y la comunicación electrónica global, la seguridad se ha convertido en un elemento vital
del que se habla mucho pero que es difícil de entender en su verdadera dimensión.

La Arquitectura de Seguridad como tal, comprende los diversos elementos que se

requieren a efecto de lograr niveles aceptables de control y administración de la seguridad
y es, en efecto, el marco teórico primordial con el que cuenta una empresa a efecto de
que todo el personal contribuya a la seguridad de los activos de información, en la medida
de sus roles y responsabilidades en la empresa.

Una Arquitectura de Seguridad incluye elementos tales como las políticas,

normativas, y procedimientos, los cuales están muy cercanos a la cultura organizacional y
por lo tanto, para su implantación efectiva, requiere de un proceso de internalización en el
personal lo cual lleva tiempo. Así mismo, la Arquitectura de Seguridad incluye todo lo
relacionado a las tecnologías de seguridad, las cuales deben responder a estándares
tecnológicos y cumplir un objetivo específico dentro de la Arquitectura de Seguridad de
forma de evitar inversiones innecesarias o que se dejen al descubierto áreas importantes
de la seguridad. La estructura organizacional, así como los esquemas administrativos y
gerenciales para la gestión de la seguridad, son otros elementos importantísimos que
conforman la Arquitectura de Seguridad.

DIAGRAMA: ARQUITECTURA DE SEGURIDAD

 Suscerte, asumiendo un rol rector en el área de seguridad informática para el
sector de la administración pública, ha venido trabajando en la definición de las políticas y
normativas de seguridad informática; ahora, a través de esta asesoría, cubre lo
relacionado a la Arquitectura Tecnológica de Seguridad. Posteriormente, quedará bajo la
responsabilidad de cada Organismo o Institución su implantación efectiva de acuerdo a
sus propias realidades y complementarla con una organización de seguridad y los
esquemas gerenciales necesarios.

Una Arquitectura Tecnológica de Seguridad Informática es aquella que permite, a través

de la incorporación de soluciones tecnológicas y administrativas, la protección de los
activos de información de un amplio rango de amenazas de forma de asegurar la
continuidad de los procesos del negocio, minimizar las posibilidades de daños al negocio
por pérdida de información y maximizar el retorno de la inversión y las oportunidades de
negocio.

La información puede existir y/o manipularse en diversas formas: impresa en papel

o escrita, almacenada de forma electrónica, procesada en computadores, transmitida por
las redes o incluso en forma verbal. Para efecto de este documento, cuando hablemos de
la Arquitectura Tecnológica de Información estaremos considerando sólo la información
procesada, almacenada y transmitida, por medios electrónicos, a través de los
computadores y redes de comunicación.

Para que una Arquitectura Tecnológica de Seguridad sea efectiva debe ser
confiable y capaz de proteger los sistemas y activos de información de las Instituciones,
en todos los niveles, mientras la información se transmite, procesa o almacena. Los
controles de seguridad deben ser robustos y capaces de cubrir el dinamismo de las redes,
arquitecturas y atacantes
.
Además, los controles deben ser repetibles, posibles de implantarse en nuevas
aplicaciones, procesos de negocio y tecnologías emergentes. Adicionalmente, para que la
Arquitectura Tecnológica de Seguridad sea verdaderamente efectiva, sus controles y
mecanismos deben ser monitoreados y efectivamente administrados para mantener la
Arquitectura actualizada y capaz de responder ante nuevas amenazas.

La seguridad de información es, por lo tanto, crítica en los diversos niveles y

elementos que conforman un sistema. A pesar de ello, una solución tecnológica de
seguridad típicamente ataca una vulnerabilidad específica olvidando la visión global de lo
que debe contemplar un sistema de información para ser verdaderamente seguro. De
esta forma, las organizaciones usualmente implantan sus soluciones desconociendo si
todos los requerimientos de seguridad se han cubierto o cuál es el posible impacto de
estas soluciones en otras partes del sistema de información. Más aún, en oportunidades
se desconoce de qué tipo de ataques nos estamos protegiendo y qué significa una
Arquitectura Tecnológica de Seguridad; por ello, antes de proceder a identificar los
elementos que conformarán el Modelo de Arquitectura propuesto, revisaremos algunos
conceptos generales relacionados con los tipos de ataques y riesgos que enfrentamos;
así mismo, revisaremos algunos conceptos generales sobre la Arquitectura Tecnológica
de Seguridad y lo que debemos contemplar para el diseño de una Arquitectura que
responda a los requerimientos de los Organismos e Instituciones de la Administración
Pública;