Tabla de contenidos
La seguridad de la información engloba un conjunto de prácticas y medidas preventivas adoptadas por organizaciones, ya sean públicas o privadas, con el propósito de resguardar la información personal o de valor. Su objetivo es prevenir que esta información caiga en manos de terceros y sea utilizado de manera indebida.
Estas prácticas y medidas están diseñadas para asegurar la confidencialidad, integridad y disponibilidad de la información. Esto se traduce en mantener la información en secreto, evitar modificaciones no autorizadas y garantizar su disponibilidad cuando sea necesario. Para lograrlo, se emplean tecnologías, políticas y procedimientos que buscan garantizar que únicamente las personas autorizadas tengan acceso a la información, manteniéndola confidencial, íntegra y disponible cuando se requiera
Es necesario recordar que nuestro país cuenta con la Ley N° 30171: Ley de Delitos Informáticos que a la letra dice: “(…) tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia (…)”
Los principios de la seguridad de la información constituyen un conjunto de directrices y mejores prácticas que se aplican para proteger la confidencialidad, integridad y disponibilidad de la información en una organización. Estos principios son fundamentales para asegurar la seguridad de los datos y sistemas ante amenazas. y riesgos. A continuación, se presentan algunos de los principios clave de la seguridad de la información:
a. Confidencialidad: Se refiere a la propiedad que garantiza que la información sea accesible solo por personas autorizadas y que esté protegida contra la revelación no autorizada, la alteración o la destrucción. Se logra a través de controles como la autenticación y la autorización, el cifrado de datos y la gestión de permisos.
b. Integridad: Este principio garantiza que los datos sean precisos y no se alteren de manera no autorizada. Esto se consigue mediante el establecimiento de controles que evitan la modificación no autorizada, como firmas digitales y registros de cambios.
c. Disponibilidad: Se relaciona con la disponibilidad constante de la información y los sistemas cuando se necesitan. Se trata de garantizar que la información esté disponible para su uso legítimo y que los sistemas estén operativos. Esto se logra mediante la implementación de respaldos, redundancia y planes de continuidad del negocio.
d. Autenticidad: Se refiere a la verificación de la identidad de los usuarios y la validación de la autenticidad de los datos. Esto se logra mediante el uso de autenticación de dos factores y controles de acceso.
e. No Repudio: El principio de no repudio se asegura de que las partes involucradas en una transacción no puedan negar la autenticidad de su participación. Esto se logra a través de registros y trazabilidad de las transacciones.
f. Responsabilidad: Se trata de asignar responsabilidades claras en la gestión de la seguridad de la información, garantizando que las personas y equipos sean responsables de la protección de la información y los sistemas.
g. Minimización del riesgo: Este principio implica identificar, evaluar y mitigar los riesgos de seguridad de la información. Se busca minimizar la exposición a amenazas y vulnerabilidades.
h. Cumplimiento Legal y Regulatorio: Toda organización debe asegurarse que la información cumpla con las leyes y regulaciones de privacidad y seguridad.
Según la norma ISO 27001, la seguridad de la información se puede dividir en tres pilares fundamentales: confidencialidad, integridad y disponibilidad.
Confidencialidad: Se refiere a la protección de la información sensible y la restricción de su acceso solo a las personas autorizadas. Garantiza que los datos confidenciales no sean expuestos o revelados a individuos no autorizados. Los controles de confidencialidad incluyen la autenticación, la autorización, el cifrado y la gestión de permisos.
Integridad: Asegura que los datos sean precisos y no se modifiquen de manera no autorizada. Impide que los datos sean alterados intencionada o accidentalmente. Los controles de integridad incluyen firmas digitales, registros de cambios y control de versiones.
Disponibilidad: Se relaciona con la disponibilidad constante de la información y los sistemas cuando se necesitan. Asegura que los datos y sistemas estén accesibles y operativos. Los controles de disponibilidad involucran la implementación de respaldos, redundancia, planes de continuidad del negocio y monitoreo constante.
Estos pilares representan un conjunto de principios que respaldan la seguridad de la información y ayudan a definir las mejores prácticas para que las empresas logren sus objetivos de seguridad.
La norma ISO 27001, que establece un marco para la gestión de la seguridad de la información, identifica una serie de riesgos de seguridad que las organizaciones deben abordar, los cuales se detallan a continuación:
¿Te interesa saber más de la seguridad de la información? La Universidad Privada del Norte te presenta el diplomado en Seguridad de la Información y Auditoría de Sistemas de la Información. ¡Sigue creciendo profesionalmente!
*Este post es una colaboración de Pedro Segundo Castañeda Vargas, Magister en Dirección y Gestión de Tecnologías de Información -UNMSM y Magister en Administración de Negocios (MBA) – ESAN. Actualmente lidera proyectos de intermediación electrónica, desarrollo de software y mejora de procesos, empleando metodologías ágiles y tradicionales. Cuenta con las siguientes certificaciones: Project Management Professional (PMP), Scrum Certified Developer (CSD), Certified Professional IBM in Rational Unified Process, Certificaciones ORACLE.
Etiquetas:
y nos
pondremos en contacto
para brindarte