[147fb25] | 1 | \section{Políticas de Seguridad de las Tecnologías de Información y Comunicación} |
---|
| 2 | |
---|
| 3 | |
---|
[2697999] | 4 | \lettrine[lines=2]{L}as políticas de seguridad de la información en una organización representan una herramienta para |
---|
| 5 | mostrar a sus miembros la importancia y sensibilidad que se debe tener sobre este tema. Estas políticas |
---|
[147fb25] | 6 | deben describir las características clásicas de la seguridad de la información, que se definen sobre |
---|
[2697999] | 7 | los conceptos de confidencialidad, integridad, disponibilidad, autenticación y responsabilidad (no repudio); |
---|
[a373526] | 8 | logrando de esta manera, permitir la adaptación a nuevos paradigmas. |
---|
[147fb25] | 9 | |
---|
[2697999] | 10 | Sin embargo, es necesario establecer un concepto, definición o contexto sólido respecto a la \textit{Seguridad} |
---|
[a373526] | 11 | \cite{ACE:03}, tema del cual pueden enumerarse a través de las siguientes características: |
---|
[147fb25] | 12 | |
---|
| 13 | |
---|
| 14 | \begin{itemize} |
---|
[2697999] | 15 | \item \textbf{Confidencialidad}: condición en la que sólo los usuarios autorizados tienen acceso al contenido de los datos. |
---|
[147fb25] | 16 | |
---|
[2697999] | 17 | \item \textbf{Disponibilidad}: condición en la que se puede acceder a información o utilizar un servicio siempre que se necesite. |
---|
[147fb25] | 18 | |
---|
[2697999] | 19 | \item \textbf{Integridad}; condición en la que se garantiza que la información o mensaje no han sido alterado. |
---|
[147fb25] | 20 | |
---|
| 21 | \item \textbf{No repudio}, condición en la que se previene que una entidad involucrada en una |
---|
| 22 | comunicación niegue luego su participación en la misma. |
---|
| 23 | |
---|
[2697999] | 24 | \item \textbf{Control de acceso}, se controla el acceso a recursos de usuarios autorizados. |
---|
| 25 | |
---|
| 26 | |
---|
[147fb25] | 27 | |
---|
| 28 | \end{itemize} |
---|
| 29 | |
---|
| 30 | |
---|
| 31 | Las políticas de seguridad de la información deben seguir un proceso de actualización periódica sujeta |
---|
| 32 | a cambios pertinentes en la institución y relacionados a la contratación de personal, alta rotación del personal, |
---|
| 33 | cambio en la infraestructura, cambio o diversificación de las actividades y/o servicios de la |
---|
| 34 | institución, desarrollos de nuevos servicios, vulnerabilidades de algunos sistemas, nivel |
---|
| 35 | de confianza entre los miembros de la institución, numero de incidentes de seguridad, |
---|
[a373526] | 36 | entre otras. |
---|
[147fb25] | 37 | |
---|
| 38 | Ya que los seres humanos son los que realizan las actividades dentro de las instituciones, |
---|
[2697999] | 39 | es importante que las políticas de seguridad no se conviertan en una forma de restricción |
---|
[147fb25] | 40 | o carga para ellos. Hay que tener en cuenta, que todas las soluciones tecnológicas |
---|
[2697999] | 41 | implementadas por una organización: cortafuegos, sistemas de detección de intrusos, |
---|
| 42 | dispositivos biométricos, entre otros, pueden resultar inútiles ante el desconocimiento, |
---|
[147fb25] | 43 | falta de información, mal uso de los controles de seguridad de la información, el no |
---|
| 44 | cumplimiento de las políticas de seguridad, desinterés o animo de causar daño de |
---|
[a373526] | 45 | algún miembro desleal de la institución. |
---|
[147fb25] | 46 | |
---|
| 47 | |
---|
[2697999] | 48 | Las personas representan el eslabón más débil de la seguridad de la información, |
---|
[147fb25] | 49 | Ellas pueden seguir o no las políticas de seguridad que fueron definidas y |
---|
[2697999] | 50 | aprobadas por la directiva, pueden realizar acciones que provoquen un agujero |
---|
| 51 | de seguridad en la red a través de instalación de software |
---|
[147fb25] | 52 | malicioso en las computadoras, revelación de información sensible a terceros |
---|
| 53 | entre otros. Según especialistas de la materia, el mayor porcentaje de fraudes, |
---|
| 54 | sabotajes, accidentes relacionados con los sistemas informáticos son causados desde |
---|
[2697999] | 55 | lo interno \cite{ACE:03}, ya que las personas que pertenecen a la institución pueden conocer |
---|
[a373526] | 56 | perfectamente los sistemas, sus barreras y sus puntos débiles. |
---|
[147fb25] | 57 | |
---|
| 58 | |
---|
[2697999] | 59 | El objetivo entonces, es proponer lineamientos generales a considerar desde |
---|
[147fb25] | 60 | el momento de definir las directrices de seguridad de la información de una institución |
---|
| 61 | de acuerdo a las necesidades, limitaciones que existe en ella, de manera de concretar |
---|
[a373526] | 62 | las ideas en documentos que orienten las acciones de la institución. |
---|
[147fb25] | 63 | |
---|
| 64 | |
---|
| 65 | |
---|