lunes, 20 de noviembre de 2017

Preservación documental digital y seguridad informática



Preservación documental digital y seguridad informática
Resultado de imagen para Preservación documental digital y seguridad informática

El número y tipo de dispositivos, servicios y variedades que integran la infraestructura de acceso se ha multiplicado, e incluye ya variados elementos de tecnología fija, inalámbrica y móvil, así como una proporción creciente de accesos que están conectados de manera permanente. Como consecuencia de todos estos cambios el volumen, naturaleza, disponibilidad y sensibilidad de la información que se intercambia a través de esta infraestructura se ha modificado y ha aumentado de manera muy significativa. Por lo mismo, hoy en día la información es un activo muy valioso para casi todas las organizaciones; para algunas de ellas es su activo más valioso y por ello se invierten considerables recursos en crearla, administrarla, mantenerla, distribuirla, etcétera. De la capacidad de que esa información sea administrada correcta y eficientemente depende en gran medida el poder mantener la competitividad, credibilidad, flujo de liquidez, retorno de la inversión, rentabilidad, cumplimiento de la legalidad e imagen de la mayoría de empresas y organizaciones. Aparte de su valor, por la misma convergencia de variados sistemas tecnológicos se produce, procesa, almacena y distribuye cada vez más y más información en formatos digitales, proveniente a su vez de procesos informáticos, acumulándose ya a lo largo de los años cantidades muy considerables de este insumo. Como consecuencia vemos en las organizaciones modernas acumularse información depositada y almacenada en estas formas digitales, la que por lo general debe ser operada, distribuida y consultada por muchos en forma remota. 
Conceptos fundamentales de la seguridad informática:
Resultado de imagen para Conceptos fundamentales de la seguridad informática

 Para poder comprender el concepto integral de la seguridad informática, es indispensable entender los diversos conceptos básicos que la rigen, ya que de otra forma no es posible establecer una base de estudio. Los enunciaré a continuación y los desarrollaré con más detalle más adelante. y Recursos Informáticos: el equipo de cómputo y telecomunicaciones; los sistemas, programas y aplicaciones, así como los datos e información de una organización. También se les conoce como “activos informáticos” y Amenaza: fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en daño a los recursos informáticos de la organización. y Impacto: la medida del efecto nocivo de un evento. y Vulnerabilidad: característica o circunstancia de debilidad de un recurso informático la cual es susceptible de ser explotada por una amenaza. y Riesgo: la probabilidad de que un evento nocivo ocurra combinado con su impacto en la organización. y Principio básico de la seguridad informática: la seguridad informática no es un producto, es un proceso.
Amenazas informáticas Las amenazas, como ya hemos mencionado, consisten en la fuente o causa potencial de eventos o incidentes no deseados que pueden resultar en daño a los insumos informáticos de la organización y ulteriormente a ella misma. Entre ellas, identificamos como las principales: y El advenimiento y proliferación de “malware” o “malicious software”, programas cuyo objetivo es el de infiltrase en los sistemas sin conocimiento de su dueño, con objeto de causar daño o perjuicio al comportamiento del sistema y por tanto de la organización. y La pérdida, destrucción, alteración, o sustracción de información por parte de personal de la organización debido a negligencia, dolo, mala capacitación, falta de responsabilidad laboral, mal uso, ignorancia, apagado o elusión de dispositivos de seguridad y/o buenas prácticas. y La pérdida, destrucción, alteración, sustracción, consulta y divulgación de información por parte de personas o grupos externos malintencionados. y El acceso no autorizado a conjuntos de información. y La pérdida, destrucción o sustracción de información debida a vandalismo. y Los ataques de negación de servicio o de intrusión a los sistemas de la organización por parte de ciber-criminales: personas o grupos malintencionados quienes apoyan o realizan actividades criminales y que usan estos ataques o amenazan con usarlos, como medios de presión o extorsión. y Los “phishers”, especializados en robo de identidades personales y 139 otros ataques del tipo de “ingeniería social”.6 y Los “spammers” y otros mercadotecnistas irresponsables y egoístas quienes saturan y desperdician el ancho de banda de las organizaciones. y La pérdida o destrucción de información debida a accidentes y fallas del equipo: fallas de energía, fallas debidas a calentamiento, aterrizamiento, des magnetización, ralladura o descompostura de dispositivos de almacenamiento, etcétera. y La pérdida o destrucción de información debida a catástrofes naturales: inundaciones, tormentas, incendios, sismos, etcétera. y El advenimiento de tecnologías avanzadas tales como el cómputo quantum, mismas que pueden ser utilizadas para desencriptar documentos, llaves, etcétera al combinar complejos principios físicos, mátemáticos y computacionales.

Estrategia y metodologías para la gestión de la seguridad informática 
Resultado de imagen para Estrategia y metodologías para la gestión de la seguridad informática

 En los últimos años se han ido desarrollando diversas metodologías para la creación de una infraestructura de seguridad informática al interior de una organización y para revisar el estado que guarda la seguridad de la información en esa organización. Bajo los nuevos enfoques se destaca el hecho de que estas metodologías no sólo deben abarcar –como se hacía antes– las problemáticas de la seguridad interna de los sistemas; hoy en día deben hacer una aproximación holística a la seguridad de la información corporativa, abarcando todas las funcionalidades de la organización en cuanto a la seguridad de la información que maneja. Esta aproximación marca la diferencia del anterior concepto conocido como “seguridad de sistemas” hacia el nuevo concepto de “seguridad informática de Tecnologías de Información y Comunicaciones (TIC)”. El nuevo enfoque considera también los riesgos organizacionales, operacionales, normativos y físicos de una organización, con todo lo que esto implica. El contexto mundial acerca de esta problemática recomienda como primera etapa diseñar para cada organización una “estrategia de seguridad informática”. Esto se hace generalmente en dos pasos: 

  • Paso 1)
  • Establecer los requisitos de seguridad. Para ello se estudian tres fuentes:
  • Los principios, objetivos, políticas, procedimientos y requisitos que la organización ha desarrollado para apoyar sus operaciones y que conforman el tratamiento de la información. 
  • El conjunto de requisitos legales, estatutos, contratos y regulaciones que deben satisfacer tanto la organización en sí misma como sus socios, usuarios, contrapartes, contratistas y proveedores de servicios. 
  • La valoración de los riesgos de la información en la organización, a partir de sus objetivos y estrategias generales. Con ellos se identifican las amenazas a los activos, se evalúa la vulnerabilidad, la probabilidad de su ocurrencia y se estima su posible 143 impacto. Para el análisis de riesgos es prática generalizada seleccionar alguna metodología ya probada al efecto. Existe un buen número de ellas a nivel mundial, pero si se desea abundar en el conocimiento de este tipo de metodologías, recomiendo estudiar en particular la denominada OCTAVE -Operationally Critical Threat, Asset, and Vulnerability Evaluation. Este análisis o valoración de riesgos permite estar en capacidad de: y Identificar, evaluar y manejar los riesgos de seguridad informática. y Establecer la probabilidad de que un recurso informático quede expuesto a un evento, así como el impacto que ese evento produciría en la organización. y Determinar las medidas de seguridad que minimizan o neutralizan ese riesgo a un costo razonable. y Tomar decisiones preventivas y planeadas en lo tocante a seguridad. Los elementos que un análisis de riesgos debe cubrir son: y Análisis de los activos que son de valor. y Análisis de amenazas cuya ocurrencia pueda producir pérdidas a la organización. y Análisis de vulnerabilidades en los controles de seguridad y en los sistemas. y Análisis de todos los riesgos y sus impactos en las operaciones de la organización. y Análisis de las medidas de seguridad que actuarían como una protección total o parcial contra cada riesgo. 
  • Paso 2)
Resultado de imagen para Establecer una estrategia para la construcción de la seguridad informática dentro de la organización.
  • Establecer una estrategia para la construcción de la seguridad informática dentro de la organización. Para el establecimiento de una estrategia destinada a construir la seguridad informática dentro de la institución es prática generalizada seleccionar una metodología ya probada al efecto. Si bien existe un buen número de ellas a nivel mundial, es una práctica muy utilizada y altamente recomendada optar por alguna de las metodologías que se han convertido gradualmente en estándares en los últimos años. Existen varias ventajas en usar una metodología aprobada para este propósito: 
  • Da certeza y continuidad operacional a la organización 
  • Da certeza en los costos de seguridad, además de su justificación. 
  • Permite que la seguridad se convierta en parte de la cultura de la organización, al incrementar la conciencia de seguridad en todos los niveles. 
  • Permite determinar y planear las acciones preventivas y correctivas en materia de seguridad. 
  • Brinda criterios para el diseño, operación y evaluación de planes de contingencia. 
  • Facilita la toma de decisiones en toda la organización que atañan a la seguridad.
  • Incrementa la productividad de los recursos humanos, financieros, de equipo, etcétera dedicados a la seguridad.Las limitantes generalmente observadas en estas metodologías son: 
  • Es un proceso analítico con un gran número de variables. 
  •  Una sola metodología no es aplicable a todos los ambientes. 
  •  Inversión considerable de tiempo y recursos dedicados a las actividades.
  •  Las soluciones al problema de seguridad no son instantáneas ni permanentes; el análisis de riesgos y sus soluciones es un proceso cíclico y continuo que involucra no sólo al área de tecnologías de la información sino a la organización en general. 
  •  La seguridad informática requiere de la participación de todos los niveles de la organización y es una responsabilidad compartida.

Los diez dominios o áreas del estándar son:
Resultado de imagen para Los diez dominios o áreas del estándar para la gestión de la seguridad informática

  • Políticas de seguridad. Es indispensable en toda organización que posea activos informáticos contar con políticas de seguridad documentadas y procedimientos internos de la organización acerca de las estrategias y disposiciones que guíen los principales rubros y áreas relacionados con la seguridad del los bienes informáticos y que permitan su actualización y revisión por parte de un comité de seguridad interno.
  •  Algunos de los principales objetivos de control y acciones dentro de este dominio son: 


  • Políticas y procedimientos internos generales de seguridad informática
  • Políticas de acceso a instalaciones sensibles. y Políticas y procedimientos de inventarios de bienes informáticos y Políticas y procedimientos de respaldo de datos. y Políticas y procedimientos de resguardo de información. y Políticas y procedimientos para asignación de usuarios y lineamientos normativos de acceso y Políticas y procedimientos para la creación y mantenimiento de software
  • Elaboración de diagnósticos de seguridad  
  • Establecimiento de personas, áreas o comités específicamente creados para la seguridad informática.

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Sueña, Planea, Ejecuta

Sueña, Planea, Ejecuta CLIC ¿Por qué es importante seguir lo planeado?  Porque estas son las bases que se tienen para lograr las metas o p...

  • manual de funcion
    Toda empresa tiene que tener un manual de funciones, sobre todo aquellas que son de grandes dimensiones, ya que así se lleva un co...
  • OFERTA Y DEMANDA
    OFERTA Y DEMANDA La oferta y la demanda de un bien o de un servicio cambian según el precio. Pongamos un ejemplo muy sencillo, un seño...
  • GASTO PUBLICO
    EL GASTO PUBLICO  Es el de gastos  realizados por el sector publico , tanto en la adquisición de bienes y servicios como en...