Академический Документы
Профессиональный Документы
Культура Документы
SEGURIDAD INFORMÁTICA.
Durante los años 70’s y 80’s se promueven múltiples iniciativas para fortalecer el tema de
seguridad informática particularmente orientado por el área técnica. ISACA: principios de la
seguridad de la información: Confidencialidad, Integridad y Disponibilidad.
Aquí las implementaciones técnicas eran lo importante. No existía una visión hacia las soluciones
de control de la información.
Años 80’s la seguridad informática se ha consolidado como una disciplina científica, desarrollo
de productos y modelos de seguridad que permitan un acceso controlado a la información.
Nueva perspectiva.
Años 90 (internet), seguridad distribuida. Seguridad de Interacción con terceros. Hace que surjan
los primeros estándares. Durante los 90’s surgen una variedad de productos de seguridad.
Para las organizaciones las prácticas de seguridad informática están relacionada más al ámbito
de tecnología. De igual forma, el diseño e implementación de políticas de seguridad, se torna un
tema de tecnologías y no de decisión administrativa. Lo que hace que pierdan su contexto
organizacional y no se percibe como parte corporativo, logrando que está en juego el nivel de
seguridad informática de la organización y por ende su buen nombre.
Por tanto, las prácticas organizacionales actuales sugieren una separación decisiones
corporativas que se concentran en elementos tecnológicos y otro tanto en aspectos
organizacionales (de procesos), marginando la presencia de los individuos como agentes
operadores. Es decir que las relaciones de TOI se transformen en realidad tangible para los
usuarios, concreta para la organización y real para la tecnología, con el fin de hacer de la
seguridad de la información una experiencia que inicia en el individuo, se manifiesta en los
procesos y se verifica en la tecnología. Es decir, un sistema que desarrolla un esquema como un
ser vivo, que piensa, para nuestro caso con una mente segura.
LA MENTE SEGURA: HACIA UN PENSAMIENTO SISTÉMICO EN SEGURIDAD INFORMÁTICA
1. La seguridad debe ser una consideración diaria: incluir la seguridad en cada momento,
proceso y persona, para que el número de vulnerabilidades asociadas con las relaciones de los
sistemas o aplicaciones sea menor.
2. La seguridad debe ser un esfuerzo comunitario: vincular de manera natural a los usuarios
finales en prácticas de seguridad.
3. Las prácticas de seguridad debe mantener un foco generalizado: considerar las reglas de
seguridad informática permiten mantener una visión general.
4. Las prácticas de seguridad deben incluir algunas medidas de entrenamiento para todo el
personal de la organización: el entrenamiento y capacitación de los usuarios finales en el tema
de seguridad es un elemento que define en sí mismo el nivel de seguridad de la organización.
Las reglas son un conjunto de prácticas y conceptos generalmente utilizados por las
organizaciones. Son:
1. Regla del menor privilegio: ofrecer el acceso requerido para realizar la labor solicitada
exclusivamente y no más.
2. Regla de los cambios: los cambios que se presenten deben ser coordinados, administrados y
considerados en función de las implicaciones de seguridad.
4. Regla del eslabón más débil: seguridad de un sistema es tan fuerte como el componente o
relación más débil que se identifique.
5. Regla de separación: sugiere que para mantener seguro algún elemento, éste debe ser
separado de peligros y riesgos de su mundo alrededor.
7. Regla de la acción preventiva: nos alerta y concientiza que la seguridad no puede ser exitosa
si no viene acompañada de acciones preventivas.
8. Regla de la respuesta apropiada e inmediata: nos dice que los pasos que una organización
toma cuando ha ocurrido un incidente de seguridad son tan importantes como las acciones que
tomamos para prevenir el ataque.
Una mente insegura es aquella que no identifica los elementos y relaciones alcance de la
seguridad informática: tecnología (T), organización (O) e individuo (I).
La regulación y adaptación (OT)es un ciclo de control continuo que le permite evolucionar
conforme evoluciona la organización y la realidad inherente a la inseguridad informática.
No reconocer estas relaciones hará que una organización se encuentre mas expuesta a las
vulnerabilidades.