SEGURIDAD DE REDES DE COMPUTADORES1. Qu es la informacin, y qu es la seguridad de la informacin? En el contexto aqu tratado, se entiende por informacin todo aquel conjunto de datos organizados en poder de una entidad que posean valor para la misma, independientemente de la forma en que se guarde o transmita (escrita, en imgenes, oral, impresa en papel, almacenada electrnicamente, proyectada, enviada por correo, fax o e-mail, transmitida en conversaciones, etc.), de su origen (de la propia organizacin o de fuentes externas) o de la fecha de elaboracin. La seguridad de la informacin, segn ISO 27001, consiste en la preservacin de su confidencialidad, integridad y disponibilidad, as como de los sistemas implicados en su tratamiento, dentro de una organizacin. As pues, estos tres trminos constituyen la base sobre la que se cimienta todo el edificio de la seguridad de la informacin

2. Cmo puede un sistema de gestin de seguridad de la informacin mejorar la seguridad del negocio? El propsito de un sistema de gestin de la seguridad de la informacin es, por tanto, garantizar que los riesgos de la seguridad de la informacin sean conocidos, asumidos, gestionados y minimizados por la organizacin de una forma documentada, sistemtica, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologas. La confidencialidad, integridad y disponibilidad de informacin sensible pueden llegar a ser esenciales para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial necesarios para lograr los objetivos de la organizacin y asegurar beneficios econmicos.

3. Cmo podemos identificar riesgos y desempear la evaluacin de riesgos? Para realizar un anlisis de los riegos, se procede a identificar los objetos que deben ser protegidos, los daos que pueden sufrir, sus posibles fuentes de dao y oportunidad, su impacto en la compaa, y su importancia dentro del mecanismo de funcionamiento.

Para realizar la evaluacin de los riesgos: Se debe evaluar el impacto en el negocio de un fallo de seguridad que suponga la prdida de confidencialidad, integridad o disponibilidad de un activo de informacin; Tambin evaluar de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relacin a las amenazas, vulnerabilidades, impactos en los activos y los controles que ya estn implementados; Estimar los niveles de riesgo; Determinar, segn los criterios de aceptacin de riesgo previamente establecidos, si el riesgo es aceptable o necesita ser tratado.

4. Qu es ISO? ISO (International Organization for Standardization) es una federacin internacional con sede en Ginebra (Suiza) de los institutos de normalizacin de 157 pases (uno por cada pas). Es una organizacin no gubernamental (sus miembros no son delegados de gobiernos nacionales), puesto que el origen de los institutos de normalizacin nacionales es diferente en los distintos pases (pblico, privado).ISO desarrolla estndares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores) acerca de productos, tecnologas, mtodos de gestin, etc. Estos estndares, por naturaleza, son de aplicacin voluntaria, ya que el carcter no gubernamental de ISO no le da autoridad legal para forzar su implantacin. Slo en aquellos casos en los que un pas ha decidido adoptar un determinado estndar como parte de su legislacin, puede convertirse en obligatorio.ISO garantiza un marco de amplia aceptacin mundial a travs de los 3000 grupos tcnicos y 50.000 expertos que colaboran en el desarrollo de normas.

5. Qu es un estndar? Es una publicacin que recoge el trabajo en comn de los comits de fabricantes, usuarios, organizaciones, departamentos de gobierno y consumidores y que contiene las especificaciones tcnicas y mejores prcticas en la experiencia profesional con el objeto de ser utilizada como regulacin, gua o definicin para las necesidades demandadas por la sociedad y tecnologa.Los estndares ayudan a aumentar la fiabilidad y efectividad de materiales, productos, procesos o servicios que utilizan todas las partes interesadas (productores, vendedores, compradores, usuarios y reguladores).En principio, son de uso voluntario, aunque la legislacin y las reglamentaciones nacionales pueden hacer referencia a ellos.

6. Cul es el origen de ISO 27001? Su origen est en la norma de BSI (British Standards Institution) BS7799-Parte 2, norma que fue publicada por primera vez en 1998 y ya era un estndar certificable desde entonces. Tras la adaptacin pertinente, ISO 27001 fue publicada el 15 de Octubre de 2005.

7. Cul es el propsito y cules son los requisitos de la ISO 27001? Este estndar fue confeccionado para proveer un modelo para el establecimiento,implementacin, operacin, monitorizacin, revisin, mantenimiento y mejora delISMS, la adopcin del ISMS debe ser una decisin estratgica de la organizacin,pues el mismo est influenciado por las necesidades y objetivos de la misma, losrequerimientos de seguridad, los procesos, el tamao y la estructura de laempresa, la dinmica que implica su aplicacin, ocasionar en muchos casos laescalada del mismo, necesitando la misma dinmica para las soluciones. Los requisitos ms significativos que debe cumplir un SGSI (Sistema para la Gestin de la Seguridad de la Informacin) respecto a: Ciclo de vida. Documentacin. Responsabilidad de la Direccin. Auditoras internas. Revisiones y mejoras.

Esta estructuracin de ridos requisitos cumple con el ciclo PDCA(Plan- Do-Check-Act), que es una aproximacin a la mejora continua facilitadora de la calidad a lo largo del tiempo.

8. Dnde encaja la ISO 27001 en todo esto? Aplica una arquitectura de gestin de la seguridad (SGSI) que identifica y evala los riesgos que afectan al negocio, con el objetivo de implantar contramedidas, procesos y procedimientos para su apropiado control y mejora continua. Ayuda a la empresa a gestionar de una forma eficaz la seguridad de la informacin, evitando las inversiones innecesarias, ineficientes o mal dirigidas que se producen por contrarrestar amenazas sin una evaluacin previa, por desestimar riesgos, por la falta de contramedidas, por implantar controles desproporcionados y de un coste ms elevado del necesario, por el retraso en las medidas de seguridad en relacin a la dinmica de cambio interno de la propia organizacin y del entorno, por la falta de claridad en la asignacin de funciones y responsabilidades sobre los activos de informacin, por la ausencia de procedimientos que garanticen la respuesta puntual y adecuada ante incidencias o la propia continuidad del negocio, etc.

9. Qu es un SGSI?SGSI es la abreviatura utilizada para referirse a un Sistema de Gestin de la Seguridad de la Informacin. ISMS es el concepto equivalente en idioma ingls,siglas de Information Security Management System.El SGSI (Sistema de Gestin de Seguridad de la Informacin) es el concepto central sobre el que se construye ISO 27001. La gestin de la seguridad de la informacin debe realizarse mediante un proceso sistemtico, documentado y conocido por toda la organizacin.Este proceso es el que constituye un SGSI, que podra considerarse, por analoga con una norma tan conocida como ISO 9001, como el sistema de calidad para la seguridad de la informacin.

SERGIO BADHIR BEDOYA HERRERA