IntroducciónBloque 1

¿Seguridad sobre qué?

El problema organizacional - 

Introducción

Siempre es bueno, luego de una serie de conceptos aprendidos, invitar a la reflexión con
dos intenciones distintas.

La primera de ellas es procurar la internalización de los conceptos y, la segunda, es

provocar la autointerpelación, a los fines de que el individuo tenga la posibilidad de
“explorarse” en el nuevo concepto científico aprendido.

Este no es un trabajo práctico donde se busca aplicar de manera rigurosa el nuevo

conocimiento, es una simple invitación a pensar desde el conocimiento de sí mismo las
implicancias que ese conocimiento traerá a nuestras vidas profesionales y a las
organizaciones para las cuales trabajamos.

En definitiva, es una manera lateral y liviana de comenzar a experimentar el ejercicio

profesional que, contrariamente a los que muchos piensan, no comienza cuando se recibe
el título sino cuando el individuo toma conciencia del compromiso que va a asumir y
comienza a comportarse de determinada manera.

O sea, tener un título en la pared no hace a una persona profesional, profesional lo hace
saber, aplicar a conciencia y con valores nobles su ciencia y ejercer su responsabilidad en
lo actuado.

1. Un verdadero desafío

En principio, conviene aclarar que siempre que mencionamos la palabra seguridad está
implícita la percepción de la ocurrencia de un delito. Justamente, la aplicación de sistemas
de seguridad, sean físicos o informáticos, tiene como fundamentación el evitar que los
potenciales delitos sobre activos (sean ellos todos los elementos que puedan reportar
valor) se concreten.

En el caso de los delitos informáticos, estos se dan específicamente en el entorno de las

tecnologías de la información. Pero es importante realizar una primera desagregación de
conceptos y diferenciar entre seguridad informática y seguridad de la información.

La seguridad informática refiere a la seguridad brindada para proteger datos y espacios

en donde estos están contenidos o almacenados. Se trata de una seguridad que combina
elementos de control físico y de logística.

En definitiva, constituye un sistema cuyo diseño permite acceder o negar el acceso a

datos o determinados servicios.

Por otro lado, la seguridad de la información hace alusión a la protección de los equipos
de procesamiento y recursos humanos, entre otros factores.

En cuanto al término ciberseguridad, este deriva del término ciberespacio y, para dar
una idea acabada sobre a qué hace referencia, podemos mencionar que la Organización
del Tratado del Atlántico Norte (OTAN) –agrupamiento militar internacional liderado por
Estados Unidos de América– lo ha usado para definir un posible teatro de operaciones
adicional a los tradicionales (tierra, mar y aire). O sea, todo aquello que existe en la
virtualidad.

La seguridad de la información y sus características

Los adelantos tecnológicos han permitido que la protección de datos y la gestión de estos
se realice a una increíble velocidad y que la sociedad se recueste en ellos para la
concreción de sus actividades cotidianas. Tan solo con observar la virulencia con la que se
ha modificado el comercio internacional, tanto en los métodos como en el uso de la
información para evolucionar, podemos darnos cuenta de que la información, como se
dice habitualmente, “es poder”.
Podemos decir que el basamento de la seguridad de la información está dado sobre tres
pilares, a saber: confidencialidad, integridad y disponibilidad.
☰ Confidencialidad
La confidencialidad tiene que ver con que la información sea accesible solamente a las
personas que se encuentran autorizadas dentro de una organización para su uso, en pos
de mantener su secreto para otros individuos. Mientras mayor sea la importancia de la
información, menor será la cantidad de personas a las que una organización autorizará
para gestionarla y darle uso (tomar decisiones en base a ellas).

Es por esto que, en general, para acceder a esta información se establece un

procedimiento de autorización y control en pos de asegurar que el usuario sea el correcto.

☰ Integridad
Por su parte, la integridad es el principio por el cual la información se mantiene inalterable
ante actos que busquen modificarla de modo malicioso. Y, en todo caso, que cuando una
modificación ocurra sea por la acción de personal autorizado.
☰ Disponibilidad
Debe considerarse que los procedimientos para mantener la integridad de la información
que buscan prevenir modificaciones no autorizadas, nunca deben atentar contra la gestión
del personal que sí tiene autorización para hacerlo. O sea, no debe anular el principio de
disponibilidad.
Puede también hablarse de otras propiedades, como lo son la autenticidad, la
responsabilidad y la fiabilidad. En definitiva, atributos de información esperables: que sea
auténtica, que se use de manera responsable y que resulte confiable para el usuario.

Hasta acá se han mencionado características que hagan cumplir los preceptos de
eficiencia y eficacia de una organización.

Política de seguridad de la información

Cuando hablamos de una política de seguridad de la información estamos mencionando la
aplicación de los principios comentados precedentemente.

Debe quedar clarificado que este tipo de estructuración de la información para su

resguardo suele ser un compromiso que realizan las empresas que dependen de esa
información para realizar sus más variadas operaciones. Y de resultar afectado el caudal
de información pueden verse afectados de modo negativo sus resultados finales.

Por tanto, una política de seguridad de información debe contemplar lo siguiente:

1. Debe garantizar la integridad de la información, los equipos que la contienen y los

procesos a la que es sometida.
2. Debe proteger la confidencialidad de la información.
3. Debe regular la disponibilidad de la información de manera que esté siempre a
disposición de la persona autorizada para su uso, en cualquier momento y
circunstancia.
Evidentemente, el establecimiento de una política de seguridad de la información requiere
de innumerables tareas, muchas de ellas técnicas. Pero otras relacionadas con la
administración general de la organización, que van desde contar con el presupuesto
adecuado para la implementación hasta vencer los reparos que por distintos modelos
mentales existan sobre su uso.

En este caso, debe aparecer el perfil gerencial y el liderazgo del profesional de seguridad
informática al que nos referimos en lecturas anteriores, ya que su habilidad, su
comunicación y la imposición de su responsabilidad deben asegurar que la política de
seguridad de la información a establecer sea la más conveniente para la organización
dentro de los recursos con que se cuente y no resulte solamente un “maquillaje”.

Así mismo, una política de seguridad de la información requiere una importante cantidad
de tareas que, en aras de consensuar, las organizaciones procuran establecer con similar
significación y operatoria.

De allí que en general se adopten los criterios de la Norma ISO 27002, que establece los
principios generales para el inicio, la implementación, el mantenimiento y la mejora
continua de la gestión de la seguridad de la información en una organización. 

Incluye también las directrices aconsejables para la implementación de elementos de

control como también su gestión, teniendo presentes los niveles de riesgo de cada
organización.

Anímate a un examen introspectivo y contestá estas

preguntas

1. ¿Qué diferencia existe entre seguridad informática y seguridad de la información?

2. ¿Cuál es más relevante en una organización?
3. ¿Han notado en las organizaciones con las cuales tienen contacto que se respetan
los principios que sustentan a la seguridad de la información?
4. ¿Pueden explicar con sus palabras –como si le explicaran al dueño de una empresa
que desconoce el tema– qué es el ciberespacio?
5. ¿Cuál creen que es el futuro de la profesión que han elegido? 
6. ¿Por qué decimos que el profesional de seguridad informática debe ser líder dentro
de la organización para la cual se desempeña?
​