Dirección General de Sistemas y Tecnologías de la Información

Seguridad

La seguridad de las TIC la podemos definir como la capacidad que tienen las infraestructuras o los sistemas informáticos de disminuir e incluso prevenir los accidentes malintencionados que comprometen la disponibilidad, la autenticidad, la integridad y la confidencialidad de la información que se encuentra almacenada en la organización y además, se debe tener en cuenta todos los servicios que ofrecen las infraestructuras o sistemas que permiten el acceso a la información.

Seguridad en las tics, es una rama de la tecnología conocida como seguridad de la información aplicada para los ordenadores y redes. El objetivo del equipo de seguridad incluye la protección de la información y la propiedad contra el robo, la corrupción, o los desastres naturales. Hoy en día, las necesidades de seguridad de las empresas se encuentran basadas en dos fundamentos principales: • Las personas - Los profesionales de las TIC con formación especializada y acreditada - Usuarios con suficiente nivel de educación cómo para poder usar las TIC • La gestión - Sistemas de Gestión de Seguridad de la Información basado en la norman ISO-27001. - UsuSeguridad englobada dentro de todos los procedimientos y los procesos de negocio, así como las actividades de la organización. - Las tecnologías y sistemas de información y comunicaciones. - Sistemas que cumplen certificaciones de calidad de la seguridad de los productos TIC.

La interrelación entre estos tres componentes es la base fundamental a la hora de implementar la seguridad dentro de una organización, se incrementa el riesgo si la seguridad de alguno de dichos componentes no se tiene en cuenta como parte de la seguridad TIC.

El principal objetivos que persiguen los responsables del Sistema de Gestión de Seguridad de la Información es conocer el tiempo real que pasa en los sistemas para que sea relevante en la seguridad de la información de su empresa y además, debe tomar las decisiones oportunas que faciliten la reducción de las amenazas que puedan afectar a la empresa. La seguridad y las tecnologías que aumentan la protección deben implantar medidas y controles que faciliten la prevención y la gestión del riesgo de las amenazas y deben ayudara a crear procesos automatizados con tendencia a disponer de información sobre eventos de una forma completa, útil y de calidad en el momento que sea necesario y también debe facilitar la implementación de mecanismos de extracción, preservación y conservación de evidencias y registros de utilización de las diferentes infraestructuras.

Seguridad lógica

La seguridad lógica está basada en el concepto de la defensa en profundidad. El concepto de defensa en profundidad se encuentra basado en los siguientes puntos:

• Bienes que se protegen por varias líneas de defensa. • Las líneas de defensa participan en la defensa global. • Cada una de las líneas de defensa lleva a cabo un papel: debilitar, entorpecer, retardar o parar el ataque. • Las líneas de defensa son autónomas, por lo que la pérdida de una línea de defensa puede debilitar la siguiente pero ésta dispone de sus propios medios de defensa frente a los diferentes ataques. • Ponen en marcha todos los medios necesarios para reforzar la defensa de las diferentes líneas: adaptar la fortificación, crear muros que limitan los efectos de las penetraciones y estar informado de la situación de cada línea de defensa.

Aspectos de la seguridad de los datos.

A la hora de hablar sobre la seguridad de los datos de carácter personal se alude implícitamente a varios hechos y aspectos de naturaleza diferente que son complementarios entre sí. Estos elementos, considerados como los tres aspectos de la seguridad de datos, son:

• Confidencialidad: los datos de carácter personal son registrados y guardados para poder cumplir la función que se especifique en la declaración del fichero. Para ello, es necesario que determinadas personas, expresamente autorizadas en función de su trabajo, accedan a esos datos para proceder a su tratamiento. Ninguna otra persona no autorizada podrá tener acceso a los datos personales protegidos. • Integridad: significa que ninguna persona que no esté autorizada podrá manipular o cambiar los datos con fines fraudulentos. • Disponibilidad: significa que se deberá evitar que un incidente provoque la indisponibilidad de los sistemas de acceso a los datos personales. La disponibilidad es uno de los aspectos más atacados en los servidores conectados a Internet. Esto es debido, sobre todo, a la vulnerabilidad de los complejos sistemas de los servidores, con un software que está todavía plagado de errores que se producen en situaciones extremas y que son aprovechados por los atacantes.