SeguridadLa seguridad de la información es el conjunto de medidas preventivas y reactivas de​ las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos y de la misma.

En el mundo de la seguridad, no existen soluciones mágicas. Pretender aplicar soluciones genéricas, desprovistas de enfoque, ausentes de una dirección concreta y bajo el precepto de “a otros le funciona” no valen.

  • No existe “la solución” única
  • No existe “el producto” único (y menos si se compra y no se instala o no se configurada adecuadamente)
  • Todo es un proceso: descubrir, analizar el riesgo, valorar su minoración, prepararnos para el impacto y tener un plan de contención de los daños y por último … vuelta a empezar de nuevo

Para ello es necesario el conocimiento, la experiencia (aplicando los principios de principios de mínimo privilegio posible, mínima exposición) y la actualización y evolución constante; la seguridad debe ser constante, no puntual.


El objeto último de la seguridad de la información es asegurar que una organización administrativa podrá cumplir sus objetivos utilizando sistemas de información. En las decisiones en materia de seguridad deberán tenerse en cuenta los siguientes principios básicos:

  • Seguridad integral, que se entenderá como un proceso integral constituido por todos los elementos técnicos, humanos, materiales y organizativos, relacionados con el sistema. Se prestará la máxima atención a la concienciación de las personas que intervienen en el proceso y a sus responsables jerárquicos, para que, ni la ignorancia, ni la falta de organización y coordinación, ni instrucciones inadecuadas, sean fuentes de riesgo para la seguridad.
  • Gestión de riesgos. El análisis y Gestión de Riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. Esto permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad.
  • Prevención, reacción y recuperación, para conseguir que las amenazas no se materialicen, no afecten gravemente a la información que maneja, o los servicios que se prestan. Las medidas de prevención (entre ellas las de disuasión y la reducción de la exposición) deben eliminar o, al menos reducir, la posibilidad de que las amenazas lleguen a materializarse. Las medidas de detección estarán acompañadas de medidas de reacción, de forma que los incidentes de seguridad se atajen a tiempo. Las medidas de recuperación permitirán la restauración de la información y los servicios, de forma que se pueda hacer frente a las situaciones en las que un incidente de seguridad inhabilite los medios habituales.
  • Líneas de defensa, han de estar constituidas por medidas de naturaleza organizativa, física y lógica y han de disponer una estrategia de protección constituida por múltiples capas de seguridad, dispuesta de forma que, cuando una de las capas falle, permita ganar tiempo para una reacción adecuada frente a los incidentes que no han podido evitarse.
  • Reevaluación periódica. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, para adecuar su eficacia a la constante evolución de los riesgos y sistemas de protección, llegando incluso a un replanteamiento de la seguridad, si fuese necesario.
  • Función diferenciada. La política de seguridad de la organización detallará que los sistemas de información se diferenciará el responsable de la información (determinará los requisitos de la información tratada), el responsable del servicio (determinará los requisitos de los servicios prestados) y el responsable de la seguridad (determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios).