Seguritecnia 350

SEGURITECNIA Marzo 2009 27 La seguridad de la información Desde el entorno de las Tecnologías de la Información y las Comunicaciones (TIC) se ha definido a la seguri- dad de la información como la disponibilidad, integri- dad y disponibilidad de la misma. Esta filosofía se recoge en normas internacionales como las normas ISO 27001 e ISO 27002, que contemplan aspectos de seguridad física, control de acceso y seguridad de infraestructuras, aun- que se desarrollan en mayor grado aquellos relacionados con la seguridad lógica y organizativa. Para alcanzar la integración de los distintos aspectos de la seguridad, es posible apoyarse en los modelos de mejora continua utilizados por los sistemas de gestión ISO (norma ISO 27001, por ejemplo). Con el ciclo pre- sentado en este esquema se establecerían las necesida- des y medidas de seguridad y se irían analizando y me- jorando permanentemente para garantizar la adecuación de la seguridad a la situación de la empresa. Aunque una norma de este tipo es adecuada para esta- blecer un sistema de gestión, es necesario trabajar tam- bién en el desarrollo de un marco de buenas prácticas o normas que apoyen la selección de medidas concretas en cada uno de los aspectos de la seguridad. Medidas en un CPD Para poner un ejemplo de las medidas de seguridad a uti- lizar, consideraremos el caso de un centro de proceso de datos. Todas las compañías necesitan del buen funciona- miento de estas instalaciones para desarrollar su trabajo Por lo tanto, si hay algún sitio en la empresa que necesite de una garantía de seguridad eficiente es sobre todo el Centro de Proceso de Datos (CPD). En concreto, entonces, se deberían revisar los siguien- tes aspectos: 1. Localización. El lugar en el que se instale el CPD va a influir en la seguridad del mismo. Hay que evitar zo- N adie cuestiona a estas alturas que estamos en tiempos de cambio. Y no hablamos de la si- tuación económica actual, sino de los cam- bios sociales, económicos y culturales generados por el desarrollo de las tecnologías digitales. Al igual que la revolución industrial supuso una modificación ra- dical en la sociedad occidental, la revolución tecnoló- gica está transformando el mundo en que vivimos. Esta revolución, que nace con el desarrollo de las tecnologías digitales y la expansión de Internet, está sentando los pilares de una nueva estructura social que tiene a la información como activo fundamental: la Sociedad de la Información. Para que este nuevo paradigma funcione, es nece- sario garantizar la seguridad y buen funcionamiento de los pilares sobre los que se apoya esta nueva So- ciedad de la Información: disponibilidad, integridad y confidencialidad de los datos. Pero ¿qué entendemos por seguridad? A priori pa- rece que en las empresas hay una doble visión de la seguridad. Desde una perspectiva tradicional, por un lado, se controla la seguridad de accesos, los ataques y las amenazas f ísicas y, por otro lado, se trabaja para implantar nuevas tecnologías de la información que garanticen la seguridad informática. Sin embargo, tanto una como otra son necesarias y se solapan: los equipos informáticos necesitan de la seguridad tradicional y ésta se apoya en gran medida en los sistemas informáticos. Por lo tanto, todas las amenazas que afecten a la seguridad desde cualquier punto de vista se deben gestionar de forma integrada. Nos referimos entonces a la seguridad integral. En otras palabras, se trata de crear una estructura or- ganizativa y de gestión que, mediante un proceso de análisis y mejora continua, contemple todos los as- pectos relacionados con la seguridad. Es necesario, por lo tanto, un sistema que pueda gestionarla en su totalidad, en el escalón adecuado del organigrama, con responsabi l idad y recursos adecuados. Sólo de esta forma se puede garantizar el correcto funciona- miento de las funciones productivas y de crecimiento de las compañías. La importancia de la seguridad integral SISTEMAS DE GESTIÓN DE LA SEGURIDAD, BASADOS EN MODELOS ISO Laura Prats Abadía ∕ Responsable Producto Seguridad TI de Applus+ LGAI Technological Center especial convergencia