1. MODELOS DE SEGURIDAD DE LA INFORMACIÓN
Luis C. Robles Tristán
Centro de Estudios de Postgrado - Universidad Latina de Panamá, Departamento de Ingeniería
luiscrt@hotmail.es
Abstract---- El presente documento presenta los diferentes tipos II. MODELOS DE SEGURIDAD INFORMATICA
de modelos de seguridad de la información que encontramos en
la actualidad. Principalmente encontramos los tipos de A. Políticas Sólidas de Seguridad de la Información.
seguridad informática: basados en políticas de seguridad de la
información, basados en herramientas de protección y otro Las políticas, proporcionan la fuente de instrucciones más
basado en el equipo de trabajo. importante y más frecuentemente referenciada que detalla cómo los
trabajadores pueden proteger tanto la información como los sistemas
Cada uno de ellas posee sus características particulares, pero al que la contienen.
final, su objetivo es el mismo, proteger lo máximo posible la
información. Es por ello que el experto en riesgos debe ser capaz Las políticas deben estar adecuadas a las circunstancias
de reconocerlos y prevenir fugas de información, para evitar los particulares de la organización (objetivos comerciales, requisitos
problemas que pueda causar dicha fuga. legales, diseño organizacional, ética y buenas costumbres, nivel
educativo del trabajador, tecnología utilizada, etc.).
I. INTRODUCCIÓN Es necesario conocer muy bien los factores de riesgo, mediante
un “Análisis de Riesgos”.
Un “Modelo de Seguridad de la Información” es un diseño formal
que promueve consistentes y efectivos mecanismos para la definición B. Herramientas de protección.
e implementación de controles. Los componentes deben estar
dirigidos a identificar los niveles de riesgo presentes y las acciones Las mejores herramientas de seguridad son vulnerables si no
que se deben implementar para reducirlos. existen políticas adecuadas que definan claramente su utilización. Ya
que para que estas herramientas funcionen al máximo, debemos
La seguridad de la información está compuesta por más que asegurar con claves y contraseñas el acceso al sistema a cierto
tecnología utilizada para solucionar problemas específicos o personal, de tal forma que se limiten a utilizar los archivos que
puntuales. Un adecuado modelo de seguridad debe incluir políticas, necesiten para desarrollar sus funciones diarias y permitir así que las
procedimientos y estándares definidos de acuerdo con las herramientas hagan su función con éxito.
características del negocio.
Se debe contar con un plan de concientización adecuadamente C. Equipo de Trabajo.
estructurado para la creación de la cultura de seguridad en la
organización. La seguridad de la información es tan buena como el El equipo de trabajo y todo el personal que maneja información
nivel de entendimiento y capacitación que el personal tengan de los importante y confidencial, debe estar altamente capacitado. Además
riesgos reales y las formas de protección. También se deben utilizar de estar informados y consientes que cualquier fuga de información
los recursos tecnológicos necesarios como soporte para un adecuado puede ser muy grave para la compañía o empresa.
respaldo de las políticas.
Para esto es recomendable, dictar capacitaciones constantemente
La Figura 1 nos muestra los componentes que debemos evaluar y y también enviar al personal a cursos, para que así estén actualizados
tener presente al momento de hacer un análisis de riesgo. y puedan desempeñar un mejor papel dentro del grupo y evitar los
fallos.
III. POLITICAS DE SEGURIDAD
Las políticas son instrucciones gerenciales que trazan una dirección
predeterminada o describen la manera de administrar o dar solución a
un problema o situación. Las políticas son planteamientos de alto
nivel que transmiten a los trabajadores la orientación que necesitan
para tomar decisiones presentes y futuras.
Las políticas también pueden considerarse como reglas de negocio
de obligatorio cumplimiento debido a que son el equivalente de una
ley propia de la organización.
Las políticas proporcionan objetivos amplios que sólo se pueden
cumplir si existen los controles adecuados.
Figura 1
2. Las políticas de seguridad de la información son importantes por:
Muestran a la gerencia los verdaderos requerimientos de
seguridad.
Cultura organizacional. Enfocar la atención del trabajador
en lo esencial. Evitar disputas internas. Coordinar las
actividades para mantener la seguridad de manera continua.
Definir los límites de las acciones que se pueden permitir.
Controlar con anticipación los eventos relativos a la
seguridad.
Aumenta la probabilidad de que las cosas se harán de
manera correcta la primera vez.
Coordinar actividades de grupos internos y externos (Otras
organizaciones).
Costos más bajos mediante la normalización de los
controles.
Cumplir con las obligaciones contractuales y
responsabilidades legales. Figura 2
La seguridad de la información se define como la preservación de:
Confidencialidad: se garantiza que la información IV. CONCLUSIONES.
sea accesible sólo a aquellas personas autorizadas a
tener acceso a ella. Los diferentes modelos de seguridad de la información que
Integridad: se salvaguarda la exactitud y totalidad de encontramos en el mercado actual marcan una notable diferencia
la información (confiabilidad) y los métodos de entre unos y otros para poder cumplir sus propósitos. Su variedad
procesamiento. hace que estén ligados en muchos casos unos con otros, ya que todos
Disponibilidad: se garantiza que los usuarios los modelos tienen la finalidad de proteger la información.
autorizados tengan acceso a la información y a los
recursos relacionados cada vez que se requiera. Las políticas ofrecidas, junto con los factores de riesgo deben
manejarse y dominarse muy bien por todo el equipo de trabajo para
evitar las fugas de información.
Por su propia naturaleza, la seguridad de la información es
multidisciplinaria, multi-departamental y crecientemente multi-
REFERENCIAS
organizacional.
[1] Políticas de Seguridad Informática: Mejores Prácticas
También existen varios factores críticos para el éxito de la seguridad Internacionales.
de la información, como lo son: [2] http://alarcos.inf-cr.uclm.es/doc/PSI/tema1Marian.pdf
[3] http://www.segu-info.com.ar/proteccion/proteccion.htm
[4] http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
Gestión de Riesgos cubriendo todos los componentes
internos y externos, la naturaleza de los sistemas, las
actividades empresariales y las leyes locales.
Identificar todos los terceros involucrados (Clientes /
Usuarios / Proveedores / Socios de negocio / Otras
Organizaciones / Gobierno).
Identificar todos los activos informáticos.
Políticas desarrolladas según los objetivos de negocio
y según la cultura organizacional.
Apoyo y compromiso manifiestos por parte de la
gerencia.
Participación integral a través de equipos
multidisciplinarios.
La figura 2, nos muestra los componentes que están presentes en la
seguridad de la información.