Seguridad de la Información

De INS Wikimedia
Saltar a: navegación, buscar

El principal activo de una organización es la información que en ella se desarrolla y se utiliza, de allí que surge la necesidad de resguardarla, para lo cual se hace indispensable la aplicación de acciones que sirvan para la protección de este activo.

Diseñar una política de seguridad, asegurando el cumplimiento de los estándares de seguridad, minimizan los riesgos de seguridad que amenacen la continuidad del servicio.

Definiciones

Seguridad de la información

La seguridad de la información, según ISO 27001, consiste en la preservación de su confidencialidad, integridad y disponibilidad, así como de los sistemas implicados en su tratamiento, dentro de una organización.

“Se entiende por información todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imágenes, oral, impresa en papel, almacenada electrónicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organización o de fuentes externas) o de la fecha de elaboración.”[1]

ISO 27001

ISO 27001:2013 es el estándar que especifica los requisitos que se necesitan para establecer, implementar y mantener un Sistema de Gestión de la Seguridad de la Información.

Alcance de la NTP 27001:2014

Esta norma internacional es conocida en Perú como “NTP-ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a. Edición”.

Características

  • Confidencialidad: Este aspecto se refiere a que los datos guardados en el sistema no se difundan a otras personas o instituciones que no están facultadas a acceder a dicha información.
  • Disponibilidad: Quiere decir que toda la información a la que puede acceder el personal autorizado debe estar libre en cualquier momento
  • Integridad: Los datos no se deben emplear, es decir, que la información obtenida no se deben manipular.2

Importancia

Es necesario el resguardo de la información considerándose que es un activo importante de toda organización y que se encuentra expuesta a riesgos o amenazas de poder ser usada de forma malintencionada.3

Glosario

Activo: Algo que presenta valor para la organización.

Amenaza: Evento o incidente provocado por una entidad hostil a la Institución que aprovecha una o varias vulnerabilidades de un activo con el fin de irrumpir la confidencialidad, integridad o disponibilidad de un activo de información.

Evento de Contingencia: Ocurrencia que se deriva de un evento de seguridad de la información en la dimensión de disponibilidad, ya que se afecta este punto considerablemente.

Incidente de Seguridad de la Información: Evento o serie de eventos de seguridad de la información inesperados o no deseados, que tienen una significativa probabilidad de comprometer los procesos operacionales de la organización y de amenazar la seguridad de la información.

Respuesta a incidentes: Se define así a las actividades de respuesta en forma sistemática. minimizando la ocurrencia, facilitar una respuesta y recuperación rápida y eficiente, minimizando la pérdida de la información y la interrupción de los servicios.

Riesgo: Se define como la probabilidad de que la Institución se vea sometida a un determinado nivel de impacto.

Vulnerabilidad: Circunstancia o características de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de un activo de información.

Bibliografía

1. El portal de ISO 27001 en Español

2. Indecopi. Principios de la Seguridad de la Información.

3. Secretaría de Gobierno Digital. Seguridad de la Información