¿Qué es la seguridad de la información? Principios y pilares

La seguridad de la información engloba un conjunto de prácticas y medidas preventivas adoptadas por organizaciones, ya sean públicas o privadas, con el propósito de resguardar la información personal o de valor. Su objetivo es prevenir que esta información caiga en manos de terceros y sea utilizado de manera indebida.

Estas prácticas y medidas están diseñadas para asegurar la confidencialidad, integridad y disponibilidad de la información. Esto se traduce en mantener la información en secreto, evitar modificaciones no autorizadas y garantizar su disponibilidad cuando sea necesario. Para lograrlo, se emplean tecnologías, políticas y procedimientos que buscan garantizar que únicamente las personas autorizadas tengan acceso a la información, manteniéndola confidencial, íntegra y disponible cuando se requiera

Es necesario recordar que nuestro país cuenta con la Ley N° 30171: Ley de Delitos Informáticos que a la letra dice: “(…) tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia (…)” 

Principios de seguridad de la información 

Los principios de la seguridad de la información constituyen un conjunto de directrices y mejores prácticas que se aplican para proteger la confidencialidad, integridad y disponibilidad de la información en una organización. Estos principios son fundamentales para asegurar la seguridad de los datos y sistemas ante amenazas. y riesgos. A continuación, se presentan algunos de los principios clave de la seguridad de la información:

a. Confidencialidad: Se refiere a la propiedad que garantiza que la información sea accesible solo por personas autorizadas y que esté protegida contra la revelación no autorizada, la alteración o la destrucción. Se logra a través de controles como la autenticación y la autorización, el cifrado de datos y la gestión de permisos. 

b. Integridad: Este principio garantiza que los datos sean precisos y no se alteren de manera no autorizada. Esto se consigue mediante el establecimiento de controles que evitan la modificación no autorizada, como firmas digitales y registros de cambios. 

c. Disponibilidad: Se relaciona con la disponibilidad constante de la información y los sistemas cuando se necesitan. Se trata de garantizar que la información esté disponible para su uso legítimo y que los sistemas estén operativos. Esto se logra mediante la implementación de respaldos, redundancia y planes de continuidad del negocio. 

d. Autenticidad: Se refiere a la verificación de la identidad de los usuarios y la validación de la autenticidad de los datos. Esto se logra mediante el uso de autenticación de dos factores y controles de acceso. 

e. No Repudio: El principio de no repudio se asegura de que las partes involucradas en una transacción no puedan negar la autenticidad de su participación. Esto se logra a través de registros y trazabilidad de las transacciones. 

f. Responsabilidad: Se trata de asignar responsabilidades claras en la gestión de la seguridad de la información, garantizando que las personas y equipos sean responsables de la protección de la información y los sistemas. 

g. Minimización del riesgo: Este principio implica identificar, evaluar y mitigar los riesgos de seguridad de la información. Se busca minimizar la exposición a amenazas y vulnerabilidades. 

h. Cumplimiento Legal y Regulatorio: Toda organización debe asegurarse que la información cumpla con las leyes y regulaciones de privacidad y seguridad. 

 Pilares de la seguridad de información 

Según la norma ISO 27001, la seguridad de la información se puede dividir en tres pilares fundamentales: confidencialidad, integridad y disponibilidad. 

Confidencialidad: Se refiere a la protección de la información sensible y la restricción de su acceso solo a las personas autorizadas. Garantiza que los datos confidenciales no sean expuestos o revelados a individuos no autorizados. Los controles de confidencialidad incluyen la autenticación, la autorización, el cifrado y la gestión de permisos. 

Integridad: Asegura que los datos sean precisos y no se modifiquen de manera no autorizada. Impide que los datos sean alterados intencionada o accidentalmente. Los controles de integridad incluyen firmas digitales, registros de cambios y control de versiones. 

Disponibilidad: Se relaciona con la disponibilidad constante de la información y los sistemas cuando se necesitan. Asegura que los datos y sistemas estén accesibles y operativos. Los controles de disponibilidad involucran la implementación de respaldos, redundancia, planes de continuidad del negocio y monitoreo constante. 

Estos pilares representan un conjunto de principios que respaldan la seguridad de la información y ayudan a definir las mejores prácticas para que las empresas logren sus objetivos de seguridad. 

Riesgos de la seguridad de la información 

La norma ISO 27001, que establece un marco para la gestión de la seguridad de la información, identifica una serie de riesgos de seguridad que las organizaciones deben abordar, los cuales se detallan a continuación:

1. Ataques Cibernéticos: Este término engloba una variedad de amenazas, tales como malware, virus, ransomware, phishing, ataques de denegación de servicio (DDoS) y ataques de ingeniería social. Los ciberataques pueden comprometer la seguridad de datos y sistemas.
2. Fallas de Hardware y Software: Las deficiencias en el hardware o el software pueden dar lugar a la pérdida de datos oa la interrupción de los servicios. Esto incluye fallos en discos duros, servidores, sistemas operativos y aplicaciones.
3. Errores Humanos: Los errores cometidos por empleados, como la eliminación accidental de datos o la exposición de contraseñas, pueden representar un riesgo significativo.
4. Robo o Pérdida de Dispositivos: La pérdida o el robo de dispositivos como laptops, teléfonos móviles o unidades USB pueden resultar en la exposición de datos sensibles si no se han tomado medidas de seguridad adecuadas.
5. Acceso no Autorizado: Personas no autorizadas que obtienen acceso a sistemas o datos pueden causar daño o robar información confidencial.
6. Desastres Naturales: Eventos como incendios, inundaciones, terremotos u otras catástrofes naturales pueden dar lugar a la destrucción de datos y sistemas si no se han implementado medidas de recuperación de desastres.
7. Incidentes Internos: Los empleados maliciosos o descontentos pueden representar un riesgo para la seguridad de la información al robar datos o dañar sistemas de manera intencionada.
8. Incumplimiento de Regulaciones: El incumplimiento de las regulaciones de privacidad de datos puede resultar en multas y sanciones legales.
9. Amenazas de Terceros: Proveedores, socios comerciales y otros terceros pueden representar un riesgo si no se gestionan adecuadamente.
10. Fugas de Datos: La fuga de datos puede ocurrir a través de la exposición no intencionada de información sensible, como enlaces de descarga públicos, documentos mal protegidos o configuraciones incorrectas de almacenamiento en la nube.

¿Te interesa saber más de la seguridad de la información? La Universidad Privada del Norte te presenta el diplomado en Seguridad de la Información y Auditoría de Sistemas de la Información. ¡Sigue creciendo profesionalmente!

*Este post es una colaboración de Pedro Segundo Castañeda Vargas, Magister en Dirección y Gestión de Tecnologías de Información -UNMSM y Magister en Administración de Negocios (MBA) – ESAN. Actualmente lidera proyectos de intermediación electrónica, desarrollo de software y mejora de procesos, empleando metodologías ágiles y tradicionales. Cuenta con las siguientes certificaciones: Project Management Professional (PMP), Scrum Certified Developer (CSD), Certified Professional IBM in Rational Unified Process, Certificaciones ORACLE.