Gestin de la Seguridad: Visin General La Gestin de la Seguridad de la Informacin se remonta al albor de los tiempos.

La criptologa o la ciencia de la confidencialidad de la informacin se remontan al inicio de nuestra civilizacin y ha ocupado algunas de las mentes matemticas ms brillantes de la historia, especialmente (y desafortunadamente) en tiempos de guerra. Sin embargo, desde el advenimiento de las ubicuas redes de comunicacin y en especial Internet los problemas asociados a la seguridad de la informacin se han agravado considerablemente y nos afectan prcticamente a todos. Que levante la mano el que no haya sido vctima de algn virus informtico en su ordenador, del spam (ya sea por correo electrnico o telfono) por una deficiente proteccin de sus datos personales o, an peor, del robo del nmero de su tarjeta de crdito. La informacin es consustancial al negocio y su correcta gestin debe apoyarse en tres pilares fundamentales:

Confidencialidad: la informacin debe ser slo accesible a sus destinatarios predeterminados. Integridad: la informacin debe ser correcta y completa. Disponibilidad: debemos de tener acceso a la informacin cuando la necesitamos.

La Gestin de la Seguridad debe, por tanto, velar por que la informacin sea correcta y completa, est siempre a disposicin del negocio y sea utilizada slo por aquellos que tienen autorizacin para hacerlo. Las interacciones y funciones de la Gestin de la Seguridad se resumen sucintamente en el siguiente interactivo: Introduccin y Objetivos Los principales objetivos de la Gestin de la Seguridad se resumen en:

Disear una poltica de seguridad, en colaboracin con clientes y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estndares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

La correcta Gestin de la Seguridad no es responsabilidad (exclusiva) de "expertos en seguridad" que desconocen los otros procesos de negocio. Si caemos en la tentacin de establecer la seguridad como una prioridad en s misma limitaremos las oportunidades de negocio que nos ofrece el flujo de informacin entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicacin. La Gestin de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organizacin TI para establecer protocolos de seguridad que aseguren que la informacin est accesible cuando se necesita por aquellos que tengan autorizacin para utilizarla. Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestin de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para, a rengln seguido, garantizar su cumplimiento.

La Gestin de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que est expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio. Es importante que la Gestin de la Seguridad sea proactiva y evale a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas lneas de negocio, etctera. Los principales beneficios de una correcta Gestin de la Seguridad:

Se evitan interrupciones del servicio causadas por virus, ataques informticos, etctera. Se minimiza el nmero de incidentes. Se tiene acceso a la informacin cuando se necesita y se preserva la integridad de los datos. Se preserva la confidencialidad de los datos y la privacidad de clientes y usuarios. Se cumplen los reglamentos sobre proteccin de datos. Mejora la percepcin y confianza de clientes y usuarios en lo que respecta a la calidad del servicio.

Las principales dificultades a la hora de implementar la Gestin de la Seguridad se resumen en:

No existe el suficiente compromiso de todos los miembros de la organizacin TI con el proceso. Se establecen polticas de seguridad excesivamente restrictivas que afectan negativamente al negocio. No se dispone de las herramientas necesarias para monitorizar y garantizar la seguridad del servicio (firewalls, antivirus, ...). El personal no recibe una formacin adecuada para la aplicacin de los protocolos de seguridad. Falta de coordinacin entre los diferentes procesos lo que impide una correcta evaluacin de los riesgos.

Proceso: La Gestin de la Seguridad est estrechamente relacionada con prcticamente todos los otros procesos TI y necesita para su xito la colaboracin de toda la organizacin. Para que esa colaboracin sea eficaz es necesario que la Gestin de la Seguridad:

Establezca una clara y definida poltica de seguridad que sirva de gua a todos los otros procesos. Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implemente el Plan de Seguridad. Monitorice y evale el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realice peridicamente auditoras de seguridad.