Seguridad de la Información
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no sólo en medios informáticos.
Resulta importante destacar que los efectos de las políticas de seguridad de la información cobran distintas dimensiones cuando se contempla una visión global de la institución por sobre los intereses particulares de cada individuo. Dentro de una organización se deben determinar los riesgos que le atañen y su forma de reducir y/o mitigar impactos adversos a un nivel aceptable mediante el establecimiento de un programa amplio y conciso en seguridad de la información y el uso efectivo de recursos cuya guía principal sean los objetivos del negocio, es decir, un programa que asegure una dirección estratégica enfocada a los objetivos de la organización y la protección de su información.
En este contexto, desde el área de Comunicaciones, Seguridad y Nuevas Tecnologías de la UTI-FAUBA, identificamos las necesidades, definimos e implementamos políticas y protocolos, realizamos auditorías y llevamos adelante acciones correctivas, en el marco de la seguridad de la información de la FAUBA.
Seguridad Informática
La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática disminuyendo el impacto en el desempeño de los trabajadores y de la organización en general.
La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:
- La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
- Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
- La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
Importancia de la seguridad de la información en las instituciones públicas
Actualmente las entidades del Estado, instituciones financieras, centros de enseñanzas, instituciones de salud y empresas privadas, entre otros, acumulan una gran cantidad de información sobre sus empleados, clientes, productos y servicios; que son fundamentales para su organización. Dicha información está amenazada por el aumento de la delincuencia informática, que pone en riesgo a las bases de datos de las organizaciones. Por lo tanto, es necesario contar con mecanismos apropiados con el fin de recolectar, tratar y almacenar dicha información y no poner en peligro la continuidad de las operaciones o del negocio.
En países de Latinoamérica como Perú, México y Argentina se están elaborando normas y documentos en materia de seguridad informática, basados primordialmente en los estándares desarrollados por Organización Internacional para la Estandarización (ISO) y el Instituto Británico de Estándares (BSI). Un ejemplo concreto es el estándar ISO/IEC 17799 que está siendo utilizado como base para el desarrollo de las normas:
- ‐NTP-‐ ISO/IEC 17799: 2004 EDI del Perú
- ‐ISO/IRAM 17799 de la Argentina
- ‐NMX-‐I-‐041/01-‐NYCE-‐2005 de México
“Garantizar un nivel de protección total es virtualmente imposible, incluso en el caso de disponer de un presupuesto ilimitado. El propósito de un plan de gestión de la seguridad de la información es, por tanto, garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías.”