RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma inmediata, íntegra, confidencial, trazable y auténtica. LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN Aurelio Herrero Blasco 1 1 Departamento de Organización de Empresas, Universidad Politécnica de Valencia CONCLUSIONES La necesidad de seguridad afecta a todas las formas de información y sus soportes, y a cualquier método usado para transmitir conocimientos, datos e ideas. El propósito de la seguridad de los sistemas de información consiste en mantener la continuidad de los procesos organizacionales que soportan dichos sistemas. Así mismo intenta minimizar, tanto el coste global de la ejecución de dichos procesos, como las pérdidas de los recursos asignados a su funcionamiento. En general las amenazas más frecuentas no van a ser la de los famosos hackers que roban secretos de las empresas, es poco frecuente; sino que el peligro van a provenir de: accesos no autorizados a la información, pérdida de datos por negligencia o por virus, etc., serán las verdaderas amenazas para la seguridad de la información. INTRODUCCIÓN REFERENCIAS La gestión de la seguridad de la información debe atender a un objetivo: reducir el nivel de riesgo al que la organización se encuentra expuesta. Procedimiento que debemos seguir para poder reducir el riesgo de amenazas al sistema de información. Analizar los principales activos de información involucrados en los procesos de negocio y determinar su valor para la organización. Identificar las amenazas potenciales que pueden afectar a cada uno de estos activos inventariados. Estimar el impacto o daño que nos produciría cualquier incidente, tanto en coste directo: pérdida de producción, como en coste indirecto: sanciones, daños a la imagen, etc. Valorar el riesgo de los activos de la organización. Todo esto debe documentarse y concretarse en un Plan director de seguridad de los sistemas de información y podemos tomar como referencia la norma UNE ISO/IEC Código de buenas prácticas en materia de seguridad de la información La seguridad de la información es imprescindible para el éxito de la actividad empresarial. Los sistemas de información evolucionan muy rápidamente, aumenta su capacidad de gestión y también aumenta su capacidad de almacenamiento. Pero a la vez, también han ido aumentando las nuevas amenazas y vulnerabilidades para las organizaciones. GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN. Para poder gestionar la seguridad de la información, responderemos a estas cuestiones: ¿Qué características de la seguridad debemos establecer para gestionar adecuadamente la seguridad de la información? Disponibilidad, integridad, confidencialidad, autenticidad de los usuarios, autenticidad del origen de los datos, trazabilidad del servicio, trazabilidad de los datos, serán las claves. ¿De dónde provienen las amenazas y en qué consisten esas amenazas? Las amenazas del entorno y del propio sistema de información, van a ser analizadas. Posteriormente analizaremos los distintos niveles de seguridad: Seguridad Física, Seguridad Lógica y Seguridad Organizacional. Estableceremos los procedimientos que debemos seguir para reducir el riesgo de amenazas al sistema de información. Analizaremos las debilidades del sistema. Clasificaremos los tipos de amenazas del sistema; actuaremos sobre ellas. XV CONGRESO AECA Valladolid Septiembre 2009 LA NECESIDAD DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Paredes-Granados, G (2006).Introducción a la Criptografía. Revista Digital Universitaria. Número 7 Volumen / de 10 de junio de 2006 DGSCA-UNAM Ramió-Aguirre, J (2006). Libro electrónico de seguridad informática y criptografía. Universidad Politécnica de Madrid. Madrid. Valverde, JR (2009). Definición de una política de seguridad. EMBnet/CBN. Documento en línea, consulta [ ]. Palabras clave: Seguridad de la información. Gestión de la seguridad de la información. Políticas de seguridad de la organización. Auditoria de sistemas de gestión de la seguridad de la información. ¿CÓMO DEFINIR SEGURIDAD DE LA INFORMACIÓN? Para PAREDES-GRANADOS, G (2006), La seguridad de la Información es unconjunto de reglas, planes y acciones que permiten asegurar la información manteniendo las propiedades de confidencialidad, integridad y disponibilidad de la misma. Cuando hablamos de seguridad de los sistemas de información estamos hablando de la seguridad informática. ¿CÓMO DEFINIR LA SEGURIDAD INFORMÁTICA? Según RAMIO-AGUIRRE, J (2006), podemos definir la seguridad informática como un conjunto de métodos y herramientas destinados a proteger la información y por ende los sistemas informáticos ante cualquier amenaza, un proceso en el que además participan personas. Concienciarnos de su importancia en el proceso será crítico. Según PAREDES-GRANADOS, G (2006), la seguridad informática es elconjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad y la disponibilidad de los recursos de un sistema.