SEGURILATAM 006

54 Tercer cuatrimestre 2017 artículo técnico Ciberseguridad El coste de las medidas será también un factor a considerar, pues ha de ser pro- porcional al riesgo que se quiere evitar. Salvaguardas básicas Existen numerosas salvaguardas defini- das en múltiples estándares y norma- tivas internacionales. Algunas de es- tas normativas, como la ISO 27002, son de carácter general, mientras que otras cubren ámbitos y propósitos específi- cos como, por ejemplo, la continuidad del negocio. Las medidas de seguridad a aplicar dependerán del tipo de siste- mas a proteger, la información que con- tienen, las condiciones particulares de cada emplazamiento y las amenazas a las que se exponen. A continuación mostramos aquellas que cualquier em- presa debería tener en cuenta indepen- dientemente de su actividad. Control de acceso a la información Por defecto, toda organización debe seguir el principio del mínimo privile- gio. Este principio se traduce en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria para desempeñar sus fun- ciones diarias. Para conseguirlo debe- mos realizar los siguientes pasos: Identificar los diferentes tipos de infor- mación que existen en nuestra orga- nización: datos de recursos humanos, contabilidad, clientes, marketing , pro- ducción, ventas, etc. Establecer quién puede acceder a cada tipo de información. Para acometer esta tarea puede ser útil, si la estruc- tura organizativa lo permite, realizar una matriz que cruce información con áreas o departamentos que tienen ne- cesidad de acceso a dicha información. minado control para mejorar la segu- ridad en una dimensión puede afectar de forma negativa o positiva a otra de las dimensiones. Por ello, es esencial co- nocer cuál de estas dimensiones es más importante proteger en cada sistema de información. Las salvaguardas son las medidas ne- cesarias para proteger la información de nuestro negocio. Y para la selección de estas medidas tendremos que fijarnos en los siguientes aspectos: Determinar la importancia de la infor- mación que manejamos. El sector de negocio puede afectar a la naturaleza de la información que tratamos. Identificar, clasificar y valorar la informa- ción según las dimensiones de seguri- dad son los pasos previos que van a di- rigir la selección de las salvaguardas. Asimismo, tendremos que conocer la naturaleza de los controles que pode- mos implantar. para evitar riesgos en la gestión de la información. Por lo tanto, es de extrema importancia que se adopten las decisio- nes y medidas necesarias antes de que se produzca un incidente de seguridad de la información. La seguridad de la información se arti- cula en torno a tres dimensiones: la dis- ponibilidad, con el objetivo de garantizar que la información sea accesible cuando se necesite; la integridad, relativa a la data correcta y libre de modificaciones y errores; y la confidencialidad, que im- plica que la información sólo sea accesi- ble para el personal autorizado. La evaluación de los activos de infor- mación de la organización, en relación a estas tres dimensiones de la seguri- dad, determina la dirección a seguir en la implantación y selección de medi- das conocidas como controles o salva- guardas. Asimismo, debemos tener en cuenta que la adopción de un deter- Resumen de criterio de selección. El coste de la implantación de la medida de seguridad. Coste económico de la medida. Coste en tiempo y recursos humanos empleados. Coste de las posibles medidas alternativas. Coste de las pérdidas económicas que supondría no tener implantada la medida. Las necesidades de cada sistema de información. Determinar cuál de las dimensiones de seguridad, confidencialidad, integridad o disponibilidad es más importante proteger. La importancia de cada sistema de información en la organización. Identificar los activos más críticos e importantes a proteger. Contemplar las particularidades de cada sector de negocio.

RkJQdWJsaXNoZXIy MzA3NDY=