Publicado en Revista .Seguridad (http://revista.seguridad.unam.

mx)

Inicio > Lo que no debes pasar por alto para gestionar la seguridad de la informacin

Lo que no debes pasar por alto para gestionar la

seguridad de la informacin
Por H. Camilo Gutirrez Amaya

numero-22 [1]
gestin [2]
Gestin de seguridad [3]
SGSI [4]
Tweet [5]
Lo ms complicado al momento de integrar temas relacionados con la seguridad de la informacin a la
organizacin es que, generalmente, no se enfocan en las necesidades de negocio y sus intereses. Por esta razn
revisaremos cules son los aspectos fundamentales que no deberamos pasar por alto.

La forma en que los usuarios intercambiamos informacin, sea personal o laboral, ha llevado a que los temas
relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevndola a ser parte
fundamental para garantizar el cumplimiento de los objetivos de negocio.

Lo ms complicado al momento de integrar temas relacionados con la seguridad de la informacin a la

organizacin es que, generalmente, no se enfocan en las necesidades de negocio y sus intereses. Por esta razn
revisaremos cules son los aspectos fundamentales que no deberamos pasar por alto.

Qu debemos garantizar con nuestro Sistema de Gestin de Seguridad de la

Informacin (SGSI[6])?

Lo primero es alinear la estrategia de seguridad con los

objetivos del negocio, sucede al garantizar la proteccin de los sistemas y la informacin usada en los procesos.

Clsicamente se ha hablado de que un sistema de gestin de la seguridad debe garantizar en la informacin tres
caractersticas: la integridad, la disponibilidad y la confidencialidad. Si bien estas tres caractersticas son
fundamentales, hay otras tres que dado el crecimiento en el uso de la informacin y los nuevos tipos de ataques,
no deben dejarse de lado: la verificacin del origen de los datos, la utilidad de los datos y el control de la
informacin, este ltimo enfocado a que la informacin no pueda ser revelada en caso de prdida.

Procurar estas caractersticas debera ser el resumen de un modelo de gestin de la seguridad. Para lograrlo hay
que apoyarse en algunos instrumentos como la poltica de seguridad, la identificacin de activos y el anlisis de
riesgos, stos deberan ser independientes a buscar certificaciones en alguna normativa.

La piedra angular: poltica de seguridad

La poltica de seguridad debe convertirse en el punto de unin del negocio con los intereses de la seguridad de
la informacin. Se logra a travs del establecimiento de objetivos de seguridad, que no son ms que
la manifestacin de las necesidades tcnicas que debe satisfacer la informacin para garantizar el cumplimiento
de los objetivos de negocio.

La poltica de seguridad debe darse a conocer a todos los niveles de la organizacin para garantizar que todos
los empleados sepan cul es la informacin crtica del negocio y cules son las caractersticas principales que le
deben ser garantizadas. De esta forma, quien lea la poltica deber tener claro cules son los lmites que tiene
con respecto a la seguridad de la informacin.

Clasificar la informacin corporativa

Con la clasificacin de la informacin se pueden

priorizar y enfocar las acciones en materia de la gestin de la seguridad. La clasificacin depende de la
naturaleza del negocio pero en general deberan incluirse tres niveles: informacin pblica, incluye todos los
datos de dominio pblico. Ya que es informacin a la que pueden acceder los clientes y proveedores, sus
caractersticas principales deben ser la precisin y la disponibilidad. En el siguiente nivel est la informacin de
uso interno, comprende toda la informacin que se intercambia al interior de la empresa y entre los empleados,
es la columna vertebral de las operaciones del negocio, por lo tanto las caractersticas que le aplican son la
disponibilidad y la integridad. En el ltimo nivel est la informacin de acceso restringido, est muy
relacionada con el tipo de actividad que puede incluir, por ejemplo los planes de negocio, informacin de
nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La principal caracterstica de
este tipo de informacin es su confidencialidad.
Al clasificar la informacin, la empresa tiene un panorama ms claro de cules son los aspectos en los que debe
enfocar su gestin. De esta forma se pueden identificar cules son los riesgos ms relevantes dentro del SGSI y
por tanto, determinar los controles ms apropiados y acordes a la realidad de la empresa.

Qu hacer y dnde enfocar esfuerzos: Anlisis de riesgos [7]

Es necesario para la empresa hacer una adecuada gestin de riesgos que le permita saber cules son las
principales vulnerabilidades de sus activos de informacin y cules son las amenazas que podran explotar esas
vulnerabilidades. En la medida que la empresa tenga clara esta identificacin de riesgos podr establecer
las acciones preventivas y correctivas viables que garanticen mayores niveles de seguridad en su informacin.

La identificacin de controles es fundamental para permitir el anlisis de riesgos, ya sea para mitigar la
posibilidad de que ocurra la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una
empresa estarn relacionadas con el tipo de amenaza y el nivel de exposicin que represente para la informaci

Lo que no se puede olvidar

[8]

Es muy importante no perder de vista que, cuando se refiere a seguridad de la informacin, no solamente se
habla de garantizar la seguridad con equipos y aplicaciones, an siendo una parte fundamental y prioritaria; sino
que el panorama se extiende para incluir al recurso humano y a polticas claras que dirijan el accionar del
sistema.

Finalmente, la gestin de la seguridad debe existir para soportar las operaciones del negocio y no para
convertirse en parte de los objetivos. En otras palabras, a partir de la definicin de su misin y su visin, una
empresa debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte
de esta estrategia, definir el sistema que garantice la seguridad de la informacin que le permita alcanzarlos.

Si quieres saber ms consulta:

Normatividad en las organizaciones: Polticas de seguridad de la informacin - Parte I [9]

Riesgo tecnolgico y su impacto para las organizaciones parte I [10]
Gestin de incidentes de seguridad informtica con agentes inteligentes [11]

H. Camilo Gutirrez Amaya [12]

 numero-22
gestin
Gestin de seguridad
SGSI
Universidad Nacional Autnoma de Mxico

Universidad Nacional Autnoma de Mxico

Directorio

Direccin General de Cmputo y de Tecnologas de Informacin y Comunicacin

Direccin General de Cmputo y de

Tecnologas de Informacin y Comunicacin

SSI / UNAMCERT

SSI / UNAMCERT

[ CONTACTO ]

Se prohbe la reproduccin total o parcial

de los artculos sin la autorizacin por escrito de los autores

URL del envo: http://revista.seguridad.unam.mx/numero22/lo-que-no-debes-pasar-por-alto-para-gestionar-la-

seguridad-de-la-informacion

Enlaces:
[1] http://revista.seguridad.unam.mx/category/revistas/numero22
[2] http://revista.seguridad.unam.mx/category/tipo-de-articulo/gesti%C3%B3n
[3] http://revista.seguridad.unam.mx/category/tipo-de-articulo/gesti%C3%B3n-de-seguridad
[4] http://revista.seguridad.unam.mx/category/tipo-de-articulo/sgsi
[5] http://twitter.com/share
[6] http://www.iso27000.es/sgsi.html
[7] http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/
[8] http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num22.pdf
[9] http://revista.seguridad.unam.mx/numero-16/normatividad-en-las-organizaciones-pol%C3%ADticas-de-
seguridad-de-la-informaci%C3%B3n-parte-i
[10] http://revista.seguridad.unam.mx/numero-14/riesgo-tecnol%C3%B3gico-y-su-impacto-para-las-
organizaciones-parte-i
[11] http://revista.seguridad.unam.mx/numero-14/gesti%C3%B3n-de-incidentes-de-seguridad-
inform%C3%A1tica-con-agentes-inteligentes
[12] http://revista.seguridad.unam.mx/autores/h-camilo-guti-rrez-amaya