El Control de Aplicación en la Seguridad de los Sistemas de Información.
Entendemos por ella el asegurar los recursos
del sistema de información en cuestión de una
organización, el cual incluye programas; se resguarda de esta forma los datos que se consideran importantes para que no sean vistos por cualquier persona no autorizada.
Desde que la tecnología ha evolucionado son muchas las facilidades que obtenemos cuando se trata de almacenar, analizar o procesar datos, pero también todos estos beneficios conllevan muchas veces a riegos que, en ocasiones, pueden ser críticos para diversas empresas.
Desde que la tecnología ha evolucionado son muchas las facilidades que obtenemos cuando se trata de almacenar, analizar o procesar datos, pero también todos estos beneficios conllevan muchas veces a riegos que, en ocasiones, pueden ser críticos para diversas empresas.
Día tras días los técnicos más
experimentados desarrollan distintas innovaciones en los aspectos de seguridad de
sistemas de información para que éstos sean lo menos vulnerable posible; entendemos
por “peligro” todo aquello que pueda afectar al funcionamiento de un sistema.
Un sistema seguro debe constar de disponibilidad,
es decir, la información debe estar disponible cuando se la necesita; debe ser
íntegro, dicha información no puede ser modificada por personal no autorizado; debe ser confidencial, la
información debe ser legible sólo por quienes están autorizados y por último,
debe ser irrefutable, su audi toría no puede negarse. Para que se pueda establecer seguridad en
sistemas de información es necesario intervenir técnicamente a varios niveles, en algunos
casos.
Sistemas
Dentro de los sistemas, la información manejada siempre es en la forma de documentos, por ello a veces se habla en otras normas de seguridad documental, que constituiría un apartado específico dentro del concepto más amplio de seguridad de la información. Todo sistema destinado al manejo de información clasificada de grado “CONFIDENCIAL o equivalente” o superior deberá tener claramente identificado el órgano de control del que depende a efectos de protección de la información clasificada.
La contabilidad, distribución y manejo de los documentos clasificados, sea en formato papel o en soportes electrónicos de almacenamiento, se realizará por parte del órgano de control competente, o bajo su control. Dicho órgano de control para la protección de la información clasificada se deberá haber constituido de acuerdo a lo establecido en la norma NS/01 de la Autoridad Nacional sobre infraestructura nacional de protección de la información clasificada. Para sistemas destinados al manejo de información clasificada con grado de “DIFUSIÓN LIMITADA o equivalente” que no estén bajo dependencia de un órgano de control, estas responsabilidades serán ejercidas por el responsable de seguridad designado.
Objetivos de seguridad
Los objetivos de seguridad perseguidos con la aplicación de medidas de seguridad en los sistemas de información y comunicaciones son: a) Proporcionar confidencialidad a la información manejada por el sistema. b) Proporcionar integridad a la información manejada por el sistema, así como a los recursos y servicios del mismo. c) Mantener la disponibilidad de la información manejada por el sistema, así como de los recursos y servicios del mismo. d) Autenticar a las personas que acceden a la información manejada por el sistema o a los recursos del mismo. e) Proporcionar al sistema el servicio de no repudio, mediante el cual es posible proporcionar la prueba de que una determinada acción ha sido realizada, no pudiendo los agentes participantes negar que se haya producido.
Requisitos de seguridad
Todos los sistemas deberán disponer de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los objetivos de seguridad requeridos:
− Identificar y autenticar a los individuos con acceso autorizado.
− Controlar los accesos a la información en base al principio de necesidad de conocer.
− Verificar y mantener la integridad de la información clasificada y de los elementos del sistema.
− Mantener la disponibilidad requerida para la información y los elementos del sistema.
− Garantizar y verificar el funcionamiento de los mecanismos de seguridad del sistema.
− Registrar y auditar la actividad de los usuarios del sistema.
− Controlar las conexiones y los enlaces de los sistemas.
− Prevenir, detectar y corregir los impactos o incidentes que afecten a la confidencialidad, integridad y disponibilidad de la información o a la integridad y disponibilidad del sistema que la maneja.
Sistemas
Dentro de los sistemas, la información manejada siempre es en la forma de documentos, por ello a veces se habla en otras normas de seguridad documental, que constituiría un apartado específico dentro del concepto más amplio de seguridad de la información. Todo sistema destinado al manejo de información clasificada de grado “CONFIDENCIAL o equivalente” o superior deberá tener claramente identificado el órgano de control del que depende a efectos de protección de la información clasificada.
La contabilidad, distribución y manejo de los documentos clasificados, sea en formato papel o en soportes electrónicos de almacenamiento, se realizará por parte del órgano de control competente, o bajo su control. Dicho órgano de control para la protección de la información clasificada se deberá haber constituido de acuerdo a lo establecido en la norma NS/01 de la Autoridad Nacional sobre infraestructura nacional de protección de la información clasificada. Para sistemas destinados al manejo de información clasificada con grado de “DIFUSIÓN LIMITADA o equivalente” que no estén bajo dependencia de un órgano de control, estas responsabilidades serán ejercidas por el responsable de seguridad designado.
Objetivos de seguridad
Los objetivos de seguridad perseguidos con la aplicación de medidas de seguridad en los sistemas de información y comunicaciones son: a) Proporcionar confidencialidad a la información manejada por el sistema. b) Proporcionar integridad a la información manejada por el sistema, así como a los recursos y servicios del mismo. c) Mantener la disponibilidad de la información manejada por el sistema, así como de los recursos y servicios del mismo. d) Autenticar a las personas que acceden a la información manejada por el sistema o a los recursos del mismo. e) Proporcionar al sistema el servicio de no repudio, mediante el cual es posible proporcionar la prueba de que una determinada acción ha sido realizada, no pudiendo los agentes participantes negar que se haya producido.
Requisitos de seguridad
Todos los sistemas deberán disponer de un conjunto equilibrado de servicios de seguridad que permitan alcanzar los objetivos de seguridad requeridos:
− Identificar y autenticar a los individuos con acceso autorizado.
− Controlar los accesos a la información en base al principio de necesidad de conocer.
− Verificar y mantener la integridad de la información clasificada y de los elementos del sistema.
− Mantener la disponibilidad requerida para la información y los elementos del sistema.
− Garantizar y verificar el funcionamiento de los mecanismos de seguridad del sistema.
− Registrar y auditar la actividad de los usuarios del sistema.
− Controlar las conexiones y los enlaces de los sistemas.
− Prevenir, detectar y corregir los impactos o incidentes que afecten a la confidencialidad, integridad y disponibilidad de la información o a la integridad y disponibilidad del sistema que la maneja.
No hay comentarios:
Publicar un comentario