1. ¿Cuáles son los Tipos de seguridad?
R.-
a) Física. Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito o causas de fuerza mayor;
b) Lógica. Se refiere a las medidas de protección que permiten la identificación y autentificación de las personas o usuarios autorizados para el tratamiento de los datos personales de acuerdo con su función;
c) De desarrollo y aplicaciones. Corresponde a las autorizaciones con las que deberá contar la creación o tratamiento de sistemas de datos personales, según su importancia, para garantizar el adecuado desarrollo y uso de los datos, previendo la participación de usuarios, la separación de entornos, la metodología a seguir, ciclos de vida y gestión, así como las consideraciones especiales respecto de aplicaciones y pruebas;
d) De cifrado. Consiste en la implementación de algoritmos, claves, contraseñas, así como dispositivos concretos de protección que garanticen la integralidad y confidencialidad de la información; y
e) De comunicaciones y redes. Se refiere a las restricciones preventivas o de riesgos que deberán observar los usuarios de datos o sistemas de datos personales para acceder a dominios o cargar programas autorizados, así como para el manejo de telecomunicaciones.
2. ¿Cuáles son los Niveles de seguridad?
a) Básico. El relativo a las medidas generales de seguridad cuya aplicación es obligatoria para todos los sistemas de datos personales. Dichas medidas corresponden a los siguientes aspectos:
-
1. Documento de seguridad;
2. Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales;
3. Registro de incidencias;
4. Identificación y autentificación;
5. Control de acceso;
6. Gestión de soportes; y
7. Copias de respaldo y recuperación.
b) Medio. Se refiere a la adopción de medidas de seguridad cuya aplicación corresponde a aquellos sistemas de datos relativos a la comisión de infracciones administrativas o penales, hacienda pública, servicios financieros, datos patrimoniales, así como a los sistemas que contengan datos personales suficientes para obtener una evaluación de la personalidad del individuo.
Este nivel de seguridad, de manera adicional a las medidas calificadas como básicas, considera los siguientes aspectos:
-
1. Responsable de seguridad;
2. Auditoría;
3. Control de acceso físico; y
4. Pruebas con datos reales.
c) Alto. Corresponde a las medidas de seguridad aplicables a sistemas de datos concernientes a la ideología, religión, creencias, afiliación política, origen étnico, salud, biométricos, genéticos o vida sexual, así como los que contengan datos recabados para fines policiales, de seguridad, prevención, investigación y persecución de delitos. Los sistemas de datos a los que corresponde adoptar el nivel de seguridad alto, además de incorporar las medidas de nivel básico y medio, deberán completar las que se detallan a continuación:
-
1. Distribución de soportes;
2. Registro de acceso; y
3. Telecomunicaciones.
Los diferentes niveles de seguridad serán establecidos atendiendo a las características propias de la información.
3. ¿Qué es un SGSI?
R.- Un Sistema de Gestión de la seguridad de la Información es, como el nombre lo sugiere, un conjunto de políticas de administración de la información.
4. ¿Qué es una política de seguridad?
R.- Una política de seguridad es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad.
5. En términos de la seguridad de la información, ¿Que es una amenaza?
R.- Se puede definir como amenaza a todo elemento o acción capaz de atentar contra la seguridad de la información. Las amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede existir si existe una vulnerabilidad que pueda ser aprovechada, e independientemente de que se comprometa o no la seguridad de un sistema de información.
6. ¿Cuáles son los Tipos de amenazas?
R.- Las amenazas pueden clasificarse en dos tipos:
- Intencionales, en caso de que deliberadamente se intente producir un daño.
- No intencionales, en donde se producen acciones u omisiones de acciones que si bien no buscan explotar una vulnerabilidad, ponen en riesgo los activos de información y pueden producir un daño.
7. ¿Qué es un Activo de información?
R.- Recurso de valor para el desarrollo de la actividad propia de la Institución que incluye la gestión de la información, el software para su tratamiento y los soportes físicos y lógicos de la información.
8. ¿Qué es el Análisis del riesgo?
R.- Método sistemático de recopilación, evaluación, registro y difusión de información necesaria para formular recomendaciones orientadas a la adopción de una posición o medidas en respuesta a un peligro determinado.
