Professional Documents
Culture Documents
Informacin
1. Cul es la funcin del SGSI?
El Sistema de Seguridad de la Informacin (SGSI) es el elemento
ms importante de la norma ISO 27001, que unifica los criterios
para la evaluacin de los riesgos asociados al manejo de la informacin
corporativa en las empresas.
Suele creerse que la gestin de la informacin es un elemento que slo
compete a las compaas que trabajan directamente con datos, como
por ejemplo las empresas de telefona mvil, las firmas aseguradoras o
todas aquellas a las que los consumidores les confan el uso de
informacin personal.
Sin embargo, no es del todo cierto. Por informacin corporativa
entendemos todos los datos que aportan valor a las empresas,
independiente del rea o del formato en el que estn recogidos. Es decir,
todo lo que sea patrimonio organizacional.
As las cosas, la informacin de este tipo puede ser de varia ndole,
desde financiera, econmica, judicial, laboral, contractual, de Recursos
Humanos, cultural y de aspectos y procesos que se relacionan con el
carcter de las empresas.
Un SGSI es, por tanto, el conjunto de prcticas orientadas a
garantizar la seguridad, la integridad y la confidencialidad de
estos datos.
Confidencialidad:
Es una caracterstica esencial de la informacin corporativa. Segn este
principio, los datos internos o que forman parte del capital de una
empresa no se revelan ni se ponen a disposicin de terceros individuos,
entidades o procesos no autorizados. Son propiedad exclusiva y como tal
deben preservarse.
Integridad:
La integridad habla de la exactitud y la inalterabilidad de la informacin,
as como de sus mtodos de proceso. Esto quiere decir que no deben
alterarse ni modificarse bajo ningn fin, salvo que la propia empresa as
lo decida y siempre y cuando haya motivos que justifiquen tal medida.
Disponibilidad:
El tercer elemento de un SGSI seala la posibilidad de que individuos,
entidades o procesos autorizados tengan pleno acceso al manejo de la
informacin que est en la base de datos de una compaa, as como los
sistemas que la regulan. Este no es un principio que se oponga a la
confidencialidad, pues se trata del acceso a todos los agentes, internos o
externos, que tengan autorizacin.
3. Con sus palabras, explique el concepto de Seguridad de la
Informacin
La seguridad informtica es una disciplina que se encarga de proteger la
integridad y la privacidad de la informacin almacenada en un sistema
informtico. De todas formas, no existe ninguna tcnica que permita
asegurar la inviolabilidad de un sistema.
Un sistema informtico puede ser protegido desde un punto de
vista lgico (con el desarrollo de software) o fsico (vinculado al
mantenimiento elctrico, por ejemplo). Por otra parte, las amenazas
pueden proceder desde programas dainos que se instalan en
la computadora del usuario (como un virus) o llegar por va remota (los
delincuentes que se conectan Internet e ingresan a distintos sistemas).
4. En qu consiste el ciclo PHVA?
En la actualidad, las empresas tienen que enfrentarse a un nivel tan alto
de competencia que para poder crecer y desarrollarse, y a veces incluso
para lograr su propia supervivencia, han de mejorar continuamente,
evolucionar y renovarse de forma fluida y constante. El ciclo
un
objeto
que
est
bajo
control
de
acceso
obligatorio.
Guardias de seguridad
12.
Para aquellos riesgos cuyo nivel est por encima del umbral deseado la
empresa debe decidir cul es el mejor tratamiento que permita
disminuirlos. Esta decisin siempre ha de pasar un filtro econmico
donde el coste del tratamiento, o coste de proteccin, no supere el coste
de riesgo disminuido.
Para el tratamiento de riesgos las empresas cuentan, entre otras, con las
siguientes opciones:
Evitar o eliminar el riesgo: por ejemplo sustituyendo el activo por
otro que no se vea afectado por la amenaza o eliminando la actividad
que lo produce.
Reducirlo o mitigarlo: tomando las medidas oportunas para que el
nivel de riesgo se site por debajo del umbral.
Transferirlo, compartirlo o asignarlo a terceros: en ocasiones la
empresa no tiene la capacidad de tratamiento y precisa la contratacin
de un tercero con capacidad para reducir y gestionar el riesgo dejndolo
por debajo del umbral.
Aceptarlo: se asume el riesgo, bien porque est debajo del umbral
aceptable de riesgo bien en situaciones en las que los costes de su
tratamiento son elevados y aun siendo riesgos de impacto alto su