Ingeniería en seguridad de la información: requisitos técnicos

Índice de contenidos

Ingeniería en seguridad de la información

La información circula a grandes velocidades a través de todos los dispositivos de tecnología. Detrás de los programas, servidores y equipos en que las organizaciones almacenan datos sobre empleados, clientes, proveedores, fórmulas de productos y directrices para prestar servicios, existen profesionales que hacen todo lo posible por resguardar los datos.

Nos referimos a los ingenieros en seguridad de la información. Estos se ocupan, entre otras cosas, de establecer las políticas, normas y protocolos para gestionar los riesgos de brechas de información en las organizaciones. Ellos se esfuerzan para abordar muchos aspectos de la seguridad de la información en decenas de niveles de detalle. Abordan aspectos tecnológicos y operativos, y se esmeran en llevar a cabo buenas prácticas organizacionales. En pocas palabras, se hacen cargo de buena parte de esta nueva forma de hacer negocios y de relacionarse.

Principios de ingeniería en seguridad de la información

Para estandarizar sus quehaceres y conferir eficacia a la labor ingenieril, los expertos crearon los principios de seguridad de la información. Su fin es cumplir con requisitos técnicos, operativos y garantizar las propiedades de la información. El propósito es el de crear un sistema más seguro. También se consideran asuntos no técnicos como políticas, procedimientos operativos, educación y formación de usuarios.

Establecer una sólida política de ingeniería en seguridad de la información como base para el diseño del sistema de gestión

La política de seguridad comienza con el compromiso básico sobre seguridad de la información de la organización, formulada como una declaración de política general. Luego, la política se aplica a todos los aspectos del diseño del sistema o solución de seguridad. La política identifica objetivos de seguridad que el sistema debe respaldar, y estos objetivos guían los procedimientos, estándares y controles utilizados en la arquitectura de seguridad de TI. La política también debe requerir la definición de activos críticos, las amenazas percibidas y funciones y responsabilidades relacionadas con la seguridad.

Tratar la seguridad como parte integral del diseño general en ingeniería en seguridad de la información

La seguridad debe ser considerada en el diseño del sistema de información. La experiencia ha demostrado que es difícil y costoso implementar medidas de seguridad de manera adecuada y exitosa. Ello incluye establecer políticas de seguridad, comprender los requisitos de seguridad resultantes, participar en la evaluación de productos de seguridad, en la ingeniería en seguridad de la información, diseño, implementación y disposición del sistema.

Delinear claramente los límites de seguridad físicos y lógicos regidos por políticas de seguridad asociadas

La tecnología de la información existe en ubicaciones físicas y lógicas, y existen límites entre estos lugares. Una comprensión de lo que debe protegerse de factores externos pueden ayudar a garantizar que se apliquen las medidas de protección adecuadas donde sean más eficaces. Para complicar aún más el asunto, muchas veces una sola máquina o el servidor puede albergar información confidencial no clasificada y de acceso público. Como resultado, se pueden aplicar múltiples políticas de seguridad a una sola máquina o dentro de un solo sistema. Por lo tanto, al desarrollar un sistema de información, los límites de seguridad deben ser considerados y comunicados en la documentación relevante del sistema y en las políticas de seguridad.

Reducir el riesgo a un nivel aceptable

El riesgo se define como la combinación de la probabilidad de que una amenaza particular explote intencionalmente o se active involuntariamente, causando un impacto adverso en las operaciones de la organización, activos, o individuos. Anteriormente, la evitación de riesgos era un objetivo común de seguridad de TI. Eso cambió a medida que se entendió mejor la naturaleza del riesgo. Hoy en día se reconoce que la eliminación de todos los riesgos no es rentable. Un análisis de costo-beneficio debe llevarse a cabo para cada control propuesto, porque puede que el sistema no justifique los costos directos e indirectos. Los beneficios incluyen más que solo prevención de pérdida de dinero; por ejemplo, los controles pueden ser esenciales para mantener la confianza pública. La meta es mejorar las capacidades de la misión/negocio, mitigando el riesgo de la misión/negocio a un nivel aceptable.

Existen más principios, todos ellos son tremendamente útiles. Te invitamos a leer la continuación de este artículo en una próxima entrega.

Plataforma GRCTools para la ingeniería en seguridad de la información

La ISO 27001 para los SGSI es sencilla de implantar, automatizar y mantener con la Plataforma Tecnológica GRCTools.

Con GRCTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, implementar, mantener y mejorar el Sistema Gestión de la Seguridad de la Información, así como se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

GRCTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG, SSI de los Servicios Públicos de Chile, entre otros.

Este software permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 y 45001 de una forma sencilla gracias a su estructura modular.