Академический Документы
Профессиональный Документы
Культура Документы
RESUMEN
Asimismo, se refiere a aspectos sustantivos de las políticas de seguridad y manejo del riesgo en
los órganos de la administración del estado en chile.
Hay un primer aspecto inevitable, relativo a fijar el marco conceptual del estudio.
Otro aspecto relevante que será estudiado en la presentación es el relativo al diseño y puesta en
marcha de un sistema de gestión del riesgo en la seguridad INFORMATICA.
ABSTRACT
The paper include a record about author experience and real life , in his work like Chief of the
technology security and the electronis documation, betwen the years 2005 to 2009, in the
CGR of Chile.
In the same way, is refer to substantive topics about secutity policys and risk management
in the publics services in Chile.
There are one first topics inevitable, related with to setle the conceptual frame of the study.
Also include a chapter related to examine, based in the real experiences of the author, the
succes key in the risk mangememt of the information technology security.
Finally, an other topic outstanding that will be study in the presentation, is that related to the
design and start on of a mangement risk system for the information technology security.
1
INTRODUCCIÓN
2
TAMBIEN CON LA PROTECCION DE LA DOCUMENTACION ELECTRONICA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
EVALUACION DEL RIESGO
GESTION DEL RIESGO
3
documentación electrónica corporativa, unida a la nutrida información disponible, nos permite
aproximar una categorización de decisiones de gestión, que en conjunto y sistémicamente,
pueden definir algunas claves o llaves, para avanzar con éxito en esta delicada misión de
resguardar adecuadamente la seguridad de la documentación electrónica y de la informática.
A) ESTRATEGIAS DE IMPLANTACION
¿existe una estrategia en relación con empleo de las TIC, aprobada y conocida por todos?
¿la planificación de las TIC está alineada con el plan estratégico de la organización?
4
¿se ha definido una política de seguridad de la información?
¿se han definido perfiles de competencia, para cada desempeño de cargos en la unidad
tic?
La información que se rescate del levantamiento de estos procesos claves relacionados con la
infraestructura y funcionalidades de la seguridad informática corporativa, permitirá reducir de
manera potente la variedad y la incertidumbre posibles, en materia de las decisiones estratégicas
que habrá que tomar para implantar un sistema de control de gestión de la seguridad informática
(SGSI), que garantice su éxito.
5
De esta forma, será posible gestionar favorablemente factores
críticos de éxito en la implantación de un SGSI, como los siguientes:
INTEGRIDAD: Tiene que ver con la certeza y solidez de los datos relativos al sistema de
seguridad informática.
Las cuestiones trascendentes en materia de seguridad informática tienen que ver con que las
decisiones que se tomen, estén alineadas con requerimientos básicos de gestión relacionados con
los siguientes requerimientos inevitables:
INSTALACION DE UN SGSI
6
Es muy improbable el cero riesgo, pero si se puede mitigar de manera importante, mediante
eficaces sistemas de control y la disponibilidad de mapas de riesgo.
Ahora bien, en nuestra propia experiencia en la CGR de Chile, rescatamos como una cuestión
trascendente, en cuanto a que la gestión del riesgo en la seguridad de la informática y de la
documentación electrónica, no pasa tanto por la riqueza en HW y SW, sino que lo hace más bien,
por la riqueza del capital intelectual de la entidad y por como este , en un proceso de
conversaciones inteligentes de carácter permanente, es capaz de asociar la seguridad y sus
exigencias, con los logros en su propio bienestar, y con ello, asume una buena disposición para
desarrollar un concepto de CULTURA DE LA SEGURIDAD INFORMATICA en la Institución.
Apreciamos los siguientes como principios rectores para un modelo de Cultura de la Seguridad
Informática:
RESPONSABILIDAD: DE TODOS
7
FEEDBACK Y MEJORAMIENTO CONTINUO : PROCESOS RELEVANTES
El marco lógico para el análisis y evaluación del riesgo en la seguridad informática puede definirse
como sigue:
Lo primero es tener muy claro que la exposición al riesgo, pasa por una clara definición de las
AMENAZAS, IMPACTOS Y VULNERABILIDADES de la entidad y su modelo de gestión.
A su turno, ese escenario está en directa relación con aspectos organizacionales vinculados con a
lo menos, los ACTIVOS (infraestructura) SERVICIOS y CONTROLES existentes, y sus
capacidades de eficiencia, eficacia y oportunidad, y es en este esquema, en el que deben
resolverse las decisiones relativas al Riesgo In gerente y al Riesgo Efectivo.
Finalmente, en esta materia se estima de utilidad, tener presentes los siguientes documentos:
UNE-I50/IEC 17.799
CODIGO DE BUENAS PRÁCTICAS PARA LA GESTION DE
LA SEGURIDAD INFORMATICA
Las áreas más sensibles en materia de evaluación del riesgo en la seguridad informática
podrían ser las siguientes:
SISTEMAS OPERATIVOS
APLICACIONES
REDES
SERVIDORES
DOCUMENTACION ELECTRONICA
INTRANET
INTERNET
LO FISICO
USUARIOS
8
Definiciones de accesibilidad (autenticación) de identidades y
permisos
Nos parece interesante comentar algunos aspectos relativos a los principales problemas en
seguridad informática, que suelen ser “pan de cada día” en la gestión informática de las
organizaciones, y que, se resuelven con soluciones de la más variada índole, y en muchos casos
recurriendo al talento y creatividad de los propios usuarios de los sistemas.
Ahora bien, en el mundo real de las organizaciones públicas en Chile, no se esta al margen de
ataques que traen consecuencia de diversa naturaleza y que pueden resumirse, de acuerdo a su
frecuencia, como sigue:
INTERCEPCION DE CONTRASEÑAS
ROTURA DE CONTRASEÑA
FALSIFICACIONDE IDENTIDADES
ROBO DE INFORMACION
DESTRUCCION DE DATOS
Claramente estos episodios traen consigo diversidad de impactos en los sistemas y entre ellos,
mencionamos los siguientes:
9
USO ILICITO DE LA INFORMACION
PERDIDA DE DATOS
PERDIDAD DE IMAGEN
RESPONSABILIDADES LEGALES
Finalmente queremos aportar algunas reflexiones para animar una mejor administración de la
seguridad informática corporativa y ello, por cierto, sin agotar para nada el tema.
DEFINICION DE POLITICAS
Aspecto significativo y relevante, como factor crítico de éxito, en la medida que ello traduce el
compromiso de la alta dirección publica.
DEFINICION DE ESTANDARES
Necesario par los efectos del cumplimiento de metas y controles
internos en general.
IMPLANTACION DE PROCEDIMIENTOS
DECISIONES EN SW DE SEGURIDAD
Importante, pero, cuidado con poner “la carreta delante de los
bueyes”.
10
BSC EN SEGURIDAD INFORMATICA
Esencial como herramienta par el control de gestión de la
informática corporativa.
CONCLUSIONES
En las decisiones de SW y HW, “poner la carreta delante de los bueyes” PUEDE SER FATAL.
BIBLIOGRAFIA
11