Se refiere al estudio de métodos y medios de protección de los sistemas de información y comunicaciones, o ante fallos de procesos, se caracterizan por proteger la confidencialidad y la integridad de la información, ademas de garantizar la disponibilidad de la misma.
¿ Como se consigue la seguridad de la información?
Implementando un conjunto de mecanismos o acciones dirigidas a disminuir los riesgos de seguridad provocados por las amenazas a los sistemas de información.
Los salvaguardias se clasifican en 3 categorías:
~ Administrativos.- Las salvaguardas administrativas incluyen las políticas y procedimientos de seguridad.
~ Físicas y técnicas.- Limitan el acceso físico directo a los equipos. Incluyen cerraduras, bloqueos para teclados, vigilantes de seguridad, alarmas y sistemas ambientales para la detección de agua, fuego y humo, e incluyen sistemas de respaldo y alimentación de reserva, tales como baterías y fuentes de alimentación ininterrumpida.
~ Preventivas.- Evitan que ocurran acontecimientos indeseados.
~ Correctivas.- Se orientan a identificar los incidentes, evaluarlos y reducir sus efectos después de que hayan sucedido.
En el caso de una pequeña empresa o de un usuario independiente, los sistemas de proceso de la información son utilizados por uno, o como mucho, por un número pequeño de usuarios y los activos de información son limitados. Con ello, se reduce la problemática de protección de la información. Cada característica propia del sistema tratado y su objetivo va asociado a un conjunto de amenazas que pueden atentar contra la seguridad del sistema, y a su vez estas amenazas, aconsejan la posible implantación de un conjunto de salvaguardas que, cada una en su justa medida, reducen el riesgo a que están sometidos los activos de la información.
* Componentes
~ Protección antivirus.
~ Políticas de respaldo de la información
~ Sistema de cortafuegos
Otros componentes podrían ser:
~ Gestión de la seguridad.- Recomendado a medida que los sistemas crecen en complejidad y número de usuarios.
~ Organización del Sistema de Seguridad.- Recomendado a medida que los sistemas se utilizan en organizaciones complejas con bastantes empleados.
~Sistema de identificación y autenticación de usuarios.- Recomendado cuando los sistemas disponen de varios usuarios con áreas de responsabilidad diferentes.
~Sistema de control de acceso.- Se quiere limitar a cada uno las funciones del sistema a las que está autorizado.
~Personal.- Recomendado en organizaciones con gran número de empleados para responsabilizar a cada empleado en sus obligaciones.
~Planes de contingencia.- Recomendado a medida que los sistemas realizan funciones de tipo crítico que no permiten que una determinada amenaza cause interrupciones en los servicios ofrecidos por la organización.
~Protección a la privacidad de los datos.- Recomendado en los casos en que la información tratada está catalogada como información afectada a la Ley Orgánica de Protección de Datos de Carácter Personal. (LOPDCP).
~Utilización del cifrado de la información.- Cuando se desea proteger la información almacenada o transmitida, de forma eficaz contra divulgaciones o modificaciones no deseadas.
~Tratamiento de incidentes.- Conjunto de procedimientos que permiten que cualquier incidente de seguridad de los sistemas de información sea tratado de forma lo más eficaz posible.
No hay comentarios:
Publicar un comentario