Definición
La Seguridad Informática se refiere a las características y
condiciones de sistemas de procesamiento de datos y su almacenamiento,
para garantizar su confidencialidad, integridad y disponibilidad.
Considerar aspectos de seguridad significa a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños de la mejor manera posible. Esto significa que solamente cuando estamos consientes de las potenciales amenazas, agresores y sus intenciones dañinas (directas o indirectas) en contra de nosotros, podemos tomar medidas de protección adecuadas, para que no se pierda o dañe nuestros recursos valiosos.
En este sentido, la Seguridad Informática sirve para la protección de
la información, en contra de amenazas o peligros, para evitar daños y
para minimizar riesgos, relacionados con ella.
Gestión de Riesgo en la Seguridad Informática
La Gestión de Riesgo es un método para determinar, analizar,
valorar y clasificar el riesgo, para posteriormente implementar
mecanismos que permitan controlarlo.
En su forma general contiene cuatro fases
En su forma general contiene cuatro fases
- Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.
- Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
- Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.
- Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
- Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas con el resultado de reducir el riesgo.
- Orientar el funcionamiento organizativo y funcional.
- Garantizar comportamiento homogéneo.
- Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
- Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
Seguridad de la Información y Protección de Datos
En la Seguridad Informática se debe distinguir dos propósitos de protección, la Seguridad de la Información y la Protección de Datos.
Se debe distinguir entre los dos, porque forman la base y dan la razón, justificación en la selección de los elementos de información que requieren una atención especial dentro del marco de la Seguridad Informática y normalmente también dan el motivo y la obligación para su protección.
Se debe distinguir entre los dos, porque forman la base y dan la razón, justificación en la selección de los elementos de información que requieren una atención especial dentro del marco de la Seguridad Informática y normalmente también dan el motivo y la obligación para su protección.
Sin embargo hay que destacar que, aunque se diferencia entre la
Seguridad de la Información y la Protección de Datos como motivo o
obligación de las actividades de seguridad, las medidas de protección
aplicadas normalmente serán las mismas.
Para ilustrar un poco la diferencia entre los dos, se recomiendo hacer el siguiente ejercicio.
En la Seguridad de la Información el objetivo de la protección son
los datos mismos y trata de evitar su perdida y modificación
non-autorizado. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de protección, que
responden a la Seguridad de la Información, es el propio interés de la
institución o persona que maneja los datos, porque la perdida o
modificación de los datos, le puede causar un daño (material o
inmaterial). Entonces en referencia al ejercicio con el banco, la
perdida o la modificación errónea, sea causado intencionalmente o
simplemente por negligencia humana, de algún récord de una cuenta
bancaria, puede resultar en perdidas económicas u otros consecuencias
negativas para la institución.
En el caso de la Protección de Datos, el objetivo de la protección no
son los datos en si mismo, sino el contenido de la información sobre
personas, para evitar el abuso de esta.
Esta vez, el motivo o el motor para la implementación de medidas de
protección, por parte de la institución o persona que maneja los datos,
es la obligación jurídica o la simple ética personal, de evitar
consecuencias negativas para las personas de las cuales se trata la
información.
En muchos Estados existen normas jurídicas que regulan el tratamiento
de los datos personales, como por ejemplo en España, donde existe la
“Ley Orgánica de Protección de Datos de Carácter Personal” que tiene por
objetivo garantizar y proteger, en lo que concierne al tratamiento de
los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor,
intimidad y privacidad personal y familiar.
Sin embargo el gran problema aparece cuando no existen leyes y normas
jurídicas que evitan el abuso o mal uso de los datos personales o si no
están aplicadas adecuadamente o arbitrariamente.
Existen algunas profesiones que, por su carácter profesional, están
reconocidos o obligados, por su juramento, de respetar los datos
personales como por ejemplo los médicos, abogados, jueces y también los
sacerdotes. Pero independientemente, si o no existen normas jurídicas,
la responsabilidad de un tratamiento adecuado de datos personales y las
consecuencias que puede causar en el caso de no cumplirlo, recae sobre
cada persona que maneja o tiene contacto con tal información, y debería
tener sus raíces en códigos de conducta, y finalmente la ética profesional y humana, de respetar y no perjudicar los derechos humanos y no hacer daño.
Si revisamos otra vez los resultados del ejercicio
con el banco y en particular los elementos que clasificamos como
“Información Confidencial”, nos podemos preguntar, ¿de que manera nos
podría perjudicar un supuesto mal manejo de nuestros datos personales,
por parte del banco, con la consecuencia de que terminen en manos
ajenas? Pues, no hay una respuesta clara en este momento sin conocer
cuál es la amenaza, es decir quién tuviera un interés en esta
información y con que propósito?
Retos de la Seguridad
La eficiente integración de los aspectos de la Seguridad Informática
en el ámbito de las organizaciones sociales centroamericanas enfrenta
algunos retos muy comunes que están relacionados con el funcionamiento y
las características de estas.
Todas estás circunstancias juntas, terminan en la triste realidad, que la seguridad en general y la Seguridad Informática en particular no recibe la atención adecuada. El error más común que se comete es que no se implementa medidas de protección, hasta que después del desastre, y las escusas o razones del porque no se hizo/hace nada al respecto abundan.
Enfrentarse con esta realidad y evitando o reduciendo los daños a un nivel aceptable, lo hace necesario trabajar en la “Gestión de riesgo“, es decir a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños de la mejor manera posible.
Pero una buena Gestión de riesgos no es una tarea única sino un proceso dinámico y permanente que tiene que estar integrado en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios -¡¡la falla el eslabón más débil de la cadena!!- y que requiere el reconocimiento y apoyo de las directiva. Sin estos características esenciales no están garantizados, las medidas de protección implementadas no funcionarán y son una perdida de recursos.
- Los temas transversales no reciben la atención que merecen y muchas veces quedan completamente fuera de las consideraciones organizativas: Para todas las organizaciones y empresas, la propia Seguridad Informática no es un fin, sino un tema transversal que normalmente forma parte de la estructura interna de apoyo. Nadie vive o trabaja para su seguridad, sino la implementa para cumplir sus objetivos.
- Carencia o mal manejo de tiempo y dinero: Implementar medidas de protección significa invertir en recursos como tiempo y dinero.
- El proceso de monitoreo y evaluación, para dar seguimiento a los planes operativos está deficiente y no integrado en estos: Implementar procesos y medidas de protección, para garantizar la seguridad, no es una cosa que se hace una vez y después se olvide, sino requiere un control continuo de cumplimiento, funcionalidad y una adaptación periódica, de las medidas de protección implementadas, al entorno cambiante.
Todas estás circunstancias juntas, terminan en la triste realidad, que la seguridad en general y la Seguridad Informática en particular no recibe la atención adecuada. El error más común que se comete es que no se implementa medidas de protección, hasta que después del desastre, y las escusas o razones del porque no se hizo/hace nada al respecto abundan.
Enfrentarse con esta realidad y evitando o reduciendo los daños a un nivel aceptable, lo hace necesario trabajar en la “Gestión de riesgo“, es decir a) conocer el peligro, b) clasificarlo y c) protegerse de los impactos o daños de la mejor manera posible.
Pero una buena Gestión de riesgos no es una tarea única sino un proceso dinámico y permanente que tiene que estar integrado en los procesos (cotidianos) de la estructura institucional, que debe incluir a todas y todos los funcionarios -¡¡la falla el eslabón más débil de la cadena!!- y que requiere el reconocimiento y apoyo de las directiva. Sin estos características esenciales no están garantizados, las medidas de protección implementadas no funcionarán y son una perdida de recursos.
_____________
Fuente: http://protejete.wordpress.com/ (01/Feb./2013)