Ciencia y Tecnologa de la Informacin y la Comunicacin III Semestre II 2009 Sesin No.

SEGURIDAD DE LA INFORMACIN
Para los propsitos de este curso, es importante resaltar que la seguridad de la informacin ha
sido una necesidad existente desde que la informacin se convirti en un activo esencial del
ser humano para sobrevivir y desarrollarse libremente y en sociedad desde tiempos remotos.
De hecho, desde mucho antes de la aparicin de las tecnologas de la informacin y las
comunicaciones que hoy conocemos, los requisitos en materia de seguridad de la informacin
que aun se manejan ya prevalecan en el entorno.
En este orden de ideas, vemos como a partir de las ciencias de la computacin y la
comunicacin, el uso de la informacin tom otra dimensin, la cual se expandi con el
advenimiento de las nuevas tecnologas. Es as como aparecen en escena todo un abanico de
nuevos servicios y posibilidades que requieren para su desarrollo el uso de las tecnologas
precitadas. De esta manera, servicios de computacin, de telecomunicaciones y otros tantos
ms sobresalen en este escenario; un escenario en donde la necesidad de preservar la
informacin de forma segura se hace ms crtica debido al gran volumen de informacin que
manejan estos servicios, los riesgos propios de la tecnologa utilizada y por el personal
respectivo.

1) Qu es Seguridad de la Informacin?
Partiendo de un anlisis de la literatura y la experiencia profesional frente al tema, podra
definir Seguridad de la informacin como la manifestacin de la condicin de la informacin
frente a los riesgos a los que se ve sometida. Tales riesgos se entienden como los eventos
posibles en que las amenazas a las que se ve sometida la informacin y sus soportes surten
efecto causando un impacto negativo a los mismos y por ende a los servicios o procesos que
los utilizan. Un impacto negativo puede apreciarse a travs del incumplimiento total o parcial
de los requisitos de seguridad, causando un detrimento en el valor de la informacin o sus
soportes.
La seguridad de la informacin tambin se entiende como una disciplina en donde a travs de
la investigacin y el desarrollo se busca satisfacer los requisitos de seguridad de la informacin
est donde est1. Esto es, impedir que la informacin o sus soportes sean usados, alterados,
suplantados o eliminados por parte de usuarios no autorizados.

La informacin puede estar en la mente de las personas, almacenada en medios

impresos, magnticos, electrnicos u pticos, o en medios de transmisin entre otros.

Ciencia y Tecnologa
loga de la Informacin y la Comunicacin III Semestre II 2009 Sesin No. 3

Dado lo anterior vemos entonces que la

l seguridad nos orienta a tener una informacin libre de
riesgos. Sin embargo, en trminos prcticos, dadas las imperfecciones de
d la tecnologa
utilizada y el factor de error humano,
humano tal libertad es prcticamente imposible de conseguir en
la actualidad y por ello se dice que no existe un sistema 100% seguro. En este sentido, la
Seguridad de la Informacin
nformacin busca la prestacin de servicios
servicios de informacin y de
telecomunicaciones con el mnimo nivel de riesgo posible.
La preservacin de la seguridad de la informacin (cumpliendo requisitos) para sistemas
basados en las tecnologas de la informacin y las comunicaciones dan lugar al tema de la
seguridad informtica. Esto sin perder la idea de que laa seguridad empieza por las personas y
termina en las personas.

2) Requisitos de la seguridad
La seguridad de la informacin busca afanosamente satisfacer tres requisitos bsicos a saber:

Disponibilidad: La informacin deber estar disponible para su uso cuando se le requiera

por parte de usuarios autorizados.

Integridad: La informacin debe ser correcta, es decir, no debe ser alterada sin la
autorizacin pertinente. De esta manera se mantiene confiable dentro del contexto de
uso.

Confidencialidad: La informacin no debe poder ser utilizada por personas o sistemas no
autorizados.
Adems de los tres requisitos anteriores, se pueden enunciar otros que no son tan bsicos y
que no siempre se requieren manejar:

Autenticidad:: Se debe poder verificar que los usuarios de la informacin sean quienes
dicen ser.

No repudio:: Se debe poder evitar que un usuario desista de su responsabilidad frente a
alguna accin realizada con la informacin.

Ciencia y Tecnologa de la Informacin y la Comunicacin III Semestre II 2009 Sesin No. 3

Auditora: este requisito o caracterstica vela por el registro de los eventos realizados en el
sistema, identificando en lo posible a los actores, las acciones y el momento de realizacin
de las mismas. Esto adems de la posibilidad de poderse realizar seguimiento posterior a
alguna actividad realizada con la informacin.

3) Preguntas para abordar el esfuerzo en seguridad 6W-1H

Una forma de abordar cualquier esfuerzo en pro de la seguridad de la informacin es mediante
el uso de las preguntas siguientes (6W-1H):

Qu - What
Cmo - How
Porqu - Why
Cul Which / Para qu (for what)
Quin - Who
Dnde - Where
Cundo - When

A travs de stas se puede delinear una gua que permita de manera ms eficaz utilizar los
recursos asignados para los fines que se propongan.

4) La seguridad como una funcin organizacional.

La seguridad vista como una funcin organizacional implica una tarea y uno o ms
responsables. Para cumplir una funcin es posible que se deban ejecutar uno o ms procesos.
Su evaluacin se enfoca hacia el cumplimiento del deber. Ej. La funcin de secretario.

5) La seguridad como un proceso.

Implica tomar unas entradas (recursos) y mediante un conjunto de actividades generar un
resultado que puede servir de base para mejorar las entradas.
La evaluacin se orienta hacia la calidad de los resultados y la eficiencia del proceso (buen uso
de los recursos); para ello se establecen indicadores, se fijan objetivos, recursos y
responsabilidades, se hacen auditoras de control y se hace retroalimentacin (feedback) a
partir de los resultados.

6) La seguridad como un servicio

El servicio para la seguridad de la informacin implica la disposicin del talento humano,
recursos fsicos y lgicos, que empleados sinrgicamente y direccionados por un plan,
contribuyen al objetivo del mismo: asegurar la informacin e indirectamente aportar valor a
los procesos y macro servicios que la utilicen, como tambin a la organizacin en general. Un

Ciencia y Tecnologa de la Informacin y la Comunicacin III Semestre II 2009 Sesin No. 3

servicio genera valor a medida que se desarrolla. Ejemplo: El servicio de proteccin perimetral
de una red, el servicio de proteccin local, el servicio de generacin de back-ups de la
informacin, etc.
A diferencia del servicio, un producto de seguridad no requiere un desarrollo para generar
valor; en este caso el producto incorpora valor en s mismo. Ejemplo: Un antivirus, un
programa IDS, un router, etc.

7) Modelo de negocio para la seguridad de la informacin2

Referencias sugeridas:
 http://es.wikipedia.org/wiki/Seguridad_de_la_informacin
 http://www.imaginar.org/iicd/index_archivos/TUS5/introduccion.pdf
 http://www.iso27000.es/download/seguridad%20informaticavsinformacion.pdf


http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Servicios_de_Seguridad_informacion_v1.pdf

Fuente: http://www.sisteseg.com/files/Microsoft_PowerPoint_-_Servicios_de_Seguridad_informacion_v1.pdf