Primer Modelo para un sistema de SI.

Primeramente, un modelo de seguridad es la expresin formal de una poltica de seguridad y se utiliza como una directriz para evaluar los sistemas informticos. Al decir formal queremos expresar que estar redactado fundamentalmente en trminos tcnicos y matemticos. Podramos definir entonces un sistema de seguridad de la informacin como una herramienta de gestin que nos va a permitir conocer, gestionar y minimizar los posibles riegos que atenten contra la seguridad de la informacin de la empresa. Es conocido por sus siglas en espaol como SGSI o por sus siglas en ingles ISMS. SGSI permite, en primer lugar, analizar y ordenar las estructuras de los SI. En segundo lugar, nos facilitar la definicin de procedimientos de trabajo para mantener su seguridad. Por ltimo, nos ofrecer la posibilidad de poner controles que permitan medir la eficacia de las medidas tomadas. Estas acciones van a proteger a nuestra organizacin frente a amenazas y riesgos que puedan poner en peligro la continuidad de los niveles de competitividad, rentabilidad y conformidad legal necesarios para alcanzar los objetivos del negocio. De esta manera conseguiremos mantener el riego para nuestra informacin por debajo del nivel asumible para la organizacin. La gestin de los riesgos a travs de SGSI nos va a permitir preservar la confidencialidad, integridad y disponibilidad de la misma, en el interior de la empresa, ante nuestros clientes y antes la distintas partes interesadas en nuestro negocio. Clasificacin de los modelos de Seguridad. En relacin a las funciones y a las operaciones sobre las que se ejercen mayor control podemos clasificar los modelos de seguridad en tres grupos: Matriz de acceso: Considera tres elementos bsicos: sujeto, objeto y tipo de acceso. Un sujeto tiene autorizacin de acceso total o parcial a uno o ms objetos del sistema. Aplicable a cualquier sistema de informacin, controla tanto la confidencialidad como la integridad de los datos. Acceso basado en funciones de control: Puede considerarse una modalidad del modelo de matriz de acceso pero, en este caso, el acceso no se define en funcin de quien es el sujeto, sino de qu funcin tiene. Por ejemplo, un determinado individuo puede ser un alumno de la universidad en cuanto a que est estudiando en una carrera, pero tambin puede ser un profesor en otra especialidad distinta de la misma universidad. Tratndose del mismo individuo, en calidad de profesor tendr un tipo de acceso al sistema y en calidad de alumno tendr otro. Tambin controla la integridad y la confidencialidad de los datos. Multinivel: este modelo se basa en la jerarquizacin de los datos (todos los datos son importantes pero unos mas privados que otros. Por ejemplo, el nivel de proteccin de los datos personales ha de ser superior que los nombres de los artculos con los que comercia una empresa). Los usuarios tendrn acceso a un nivel o a otro de la jerarqua en funcin de las autorizaciones que les hayan sido dadas. Este nivel controla el flujo de datos entre los niveles de la jerarqua. Ejemplos de este grupo son el modelo Bell-LaPadula (controla la confidencialidad)

y el modelo Bilxt (controla la integridad) Seguridad de la informacin: modelo PDCA. Dentro de la organizacin el tema de la seguridad de la informacin es un captulo muy importante que requiere dedicarle tiempo y recursos. La organizacin debe plantearse un Sistema de Gestin de la Seguridad de la Informacin (SGSI). El objetivo de un SGSI es proteger la informacin y para ello lo primero que debe hacer es identificar los 'activos de informacin' que deben ser protegidos y en qu grado. Luego debe aplicarse el plan PDCA ('PLAN DO CHECK ACT'), es decir Planificar, Hacer, Verificar, Actuar y volver a repetir el ciclo, consiguiendo as mejorar la seguridad. Se entiende la seguridad como un proceso que nunca termina ya que los riesgos nunca se eliminan, pero se pueden gestionar. De los riesgos se desprende que los problemas de seguridad no son nicamente de naturaleza tecnolgica, y por ese motivo nunca se eliminan en su totalidad.

PLANIFICAR (Plan): consiste en establecer el contexto en el se crean las polticas de seguridad, se hace el anlisis de riesgos, se hace la seleccin de controles y el estado de aplicabilidad. HACER (Do): consiste en implementar el sistema de gestin de seguridad de la informacin, implementar el plan de riesgos e implementar los controles . VERIFICAR (Check): consiste en monitorear las actividades y hacer auditoras internas. ACTUAR (Act): consiste en ejecutar tareas de mantenimiento, propuestas de mejora, acciones preventivas y acciones correctivas.