Tabla de contenidos
La seguridad de la información engloba un conjunto de prácticas y medidas preventivas adoptadas por organizaciones, ya sean públicas o privadas, con el propósito de resguardar la información personal o de valor. Su objetivo es prevenir que esta información caiga en manos de terceros y sea utilizado de manera indebida.
Estas prácticas y medidas están diseñadas para asegurar la confidencialidad, integridad y disponibilidad de la información. Esto se traduce en mantener la información en secreto, evitar modificaciones no autorizadas y garantizar su disponibilidad cuando sea necesario. Para lograrlo, se emplean tecnologías, políticas y procedimientos que buscan garantizar que únicamente las personas autorizadas tengan acceso a la información, manteniéndola confidencial, íntegra y disponible cuando se requiera
Es necesario recordar que nuestro país cuenta con la Ley N° 30171: Ley de Delitos Informáticos que a la letra dice: “(…) tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia (…)”
Los principios de la seguridad de la información constituyen un conjunto de directrices y mejores prácticas que se aplican para proteger la confidencialidad, integridad y disponibilidad de la información en una organización. Estos principios son fundamentales para asegurar la seguridad de los datos y sistemas ante amenazas. y riesgos. A continuación, se presentan algunos de los principios clave de la seguridad de la información:
a. Confidencialidad: Se refiere a la propiedad que garantiza que la información sea accesible solo por personas autorizadas y que esté protegida contra la revelación no autorizada, la alteración o la destrucción. Se logra a través de controles como la autenticación y la autorización, el cifrado de datos y la gestión de permisos.
b. Integridad: Este principio garantiza que los datos sean precisos y no se alteren de manera no autorizada. Esto se consigue mediante el establecimiento de controles que evitan la modificación no autorizada, como firmas digitales y registros de cambios.
c. Disponibilidad: Se relaciona con la disponibilidad constante de la información y los sistemas cuando se necesitan. Se trata de garantizar que la información esté disponible para su uso legítimo y que los sistemas estén operativos. Esto se logra mediante la implementación de respaldos, redundancia y planes de continuidad del negocio.
d. Autenticidad: Se refiere a la verificación de la identidad de los usuarios y la validación de la autenticidad de los datos. Esto se logra mediante el uso de autenticación de dos factores y controles de acceso.
e. No Repudio: El principio de no repudio se asegura de que las partes involucradas en una transacción no puedan negar la autenticidad de su participación. Esto se logra a través de registros y trazabilidad de las transacciones.
f. Responsabilidad: Se trata de asignar responsabilidades claras en la gestión de la seguridad de la información, garantizando que las personas y equipos sean responsables de la protección de la información y los sistemas.
g. Minimización del riesgo: Este principio implica identificar, evaluar y mitigar los riesgos de seguridad de la información. Se busca minimizar la exposición a amenazas y vulnerabilidades.
h. Cumplimiento Legal y Regulatorio: Toda organización debe asegurarse que la información cumpla con las leyes y regulaciones de privacidad y seguridad.
Según la norma ISO 27001, la seguridad de la información se puede dividir en tres pilares fundamentales: confidencialidad, integridad y disponibilidad.
1.Confidencialidad: Se refiere a la protección de la información sensible y la restricción de su acceso solo a las personas autorizadas. Garantiza que los datos confidenciales no sean expuestos o revelados a individuos no autorizados. Los controles de confidencialidad incluyen la autenticación, la autorización, el cifrado y la gestión de permisos.
2.Integridad: Asegura que los datos sean precisos y no se modifiquen de manera no autorizada. Impide que los datos sean alterados intencionada o accidentalmente. Los controles de integridad incluyen firmas digitales, registros de cambios y control de versiones.
3.Disponibilidad: Se relaciona con la disponibilidad constante de la información y los sistemas cuando se necesitan. Asegura que los datos y sistemas estén accesibles y operativos. Los controles de disponibilidad involucran la implementación de respaldos, redundancia, planes de continuidad del negocio y monitoreo constante.
Estos pilares representan un conjunto de principios que respaldan la seguridad de la información y ayudan a definir las mejores prácticas para que las empresas logren sus objetivos de seguridad.
Hay una amplia variedad de herramientas disponibles para mejorar la seguridad de la información en diversas áreas. Aquí tienes algunas categorías comunes de herramientas de seguridad, junto con ejemplos de herramientas populares en cada una:
La seguridad de la información abarca diversas medidas y enfoques para proteger los datos y sistemas de acceso no autorizado, uso malicioso, alteración o destrucción. Aquí tienes algunos tipos comunes de seguridad de la información:
Seguridad de red: Se concentra en proteger la integridad y privacidad de la comunicación de datos a través de redes, como Internet o redes locales.
Seguridad lógica: Esto implica la implementación de firewalls, sistemas de detección de intrusiones, cifrado de datos, autenticación de usuarios (como contraseñas, tokens o biometría) y la gestión de accesos.
Seguridad de la aplicación: Se refiere a proteger las aplicaciones de software contra vulnerabilidades que podrían ser explotadas por atacantes.
Seguridad en la nube: Incluye las medidas de seguridad específicas para proteger los datos y los servicios alojados en entornos de nube.
Seguridad física: Se refiere a la protección de los activos físicos que almacenan información, como servidores, dispositivos de almacenamiento y centros de datos.
La norma ISO 27001, que establece un marco para la gestión de la seguridad de la información, identifica una serie de riesgos de seguridad que las organizaciones deben abordar, los cuales se detallan a continuación:
Te presentamos algunos ejemplos concretos de medidas de seguridad de la información:
Cifrado de datos: Una empresa utiliza cifrado de extremo a extremo para proteger la confidencialidad de los datos sensibles durante su transmisión a través de redes, así como mientras están almacenados en servidores. Esto asegura que incluso si los datos son interceptados, serán ilegibles para cualquier persona sin la clave de cifrado adecuada.
Políticas de gestión de contraseñas: Una empresa establece políticas para el uso de contraseñas seguras, que incluyen requisitos de longitud, complejidad y rotación regular de contraseñas. Esto ayuda a proteger las cuentas de usuario contra ataques de fuerza bruta y el uso de contraseñas débiles.
Monitoreo de seguridad: Una empresa implementa sistemas de monitoreo continuo de seguridad para detectar y responder rápidamente a cualquier actividad sospechosa en su red. Esto incluye la supervisión de registros de eventos, análisis de tráfico de red y alertas automáticas para identificar posibles amenazas de seguridad.
La diferencia entre seguridad informática y seguridad de la información radica principalmente en su enfoque y alcance:
Seguridad informática:
La seguridad informática se centra principalmente en proteger los sistemas informáticos, redes, hardware, software y datos contra amenazas externas e internas.
Seguridad de la Información:
La seguridad de la información se enfoca en proteger los datos en todas sus formas, ya sea en reposo, en tránsito o en uso, independientemente de la tecnología utilizada para almacenar, procesar o transmitir esos datos.
¿Te interesa saber más de la seguridad de la información? La Universidad Privada del Norte te presenta el diplomado en Seguridad de la Información y Auditoría de Sistemas de la Información. ¡Sigue creciendo profesionalmente!
*Este post es una colaboración de Pedro Segundo Castañeda Vargas, magister en Dirección y Gestión de Tecnologías de Información.
Etiquetas:
y nos
pondremos en contacto
para brindarte