¿Qué es la seguridad de la información? La seguridad de la información no se trata solo de proteger la información del acceso no autorizado. La seguridad de la información es básicamente la práctica de prevenir el acceso, uso, divulgación, interrupción, modificación, inspección, registro o destrucción no autorizados de información.
La información puede ser física o eléctrica. La información puede ser similar a sus detalles o podemos decir su perfil en las redes sociales, sus datos en el teléfono móvil, su biometría, etc.
La seguridad de la información , a veces abreviada a infosec , es la práctica de proteger la información mitigando los riesgos de la información. Es parte de la gestión de riesgos de la información.
Por lo general, implica prevenir o al menos reducir la probabilidad de acceso, uso, divulgación, interrupción, eliminación / destrucción, corrupción, modificación, inspección, registro o devaluación no autorizados / inapropiados, aunque también puede implicar la reducción de los impactos adversos de los incidentes.
La información puede adoptar cualquier forma, por ejemplo, electrónica o física, tangible (por ejemplo, papeleo) o intangible (por ejemplo, conocimiento).
Durante la Primera Guerra Mundial, el Sistema de clasificación de niveles múltiples se desarrolló teniendo en cuenta la sensibilidad de la información. Con el comienzo de la Segunda Guerra Mundial, se realizó la alineación formal del Sistema de Clasificación. Alan Turing fue quien descifró con éxito la máquina Enigma, que fue utilizada por los alemanes para cifrar los datos de la guerra.
Los programas de seguridad de la información se basan en 3 objetivos, comúnmente conocidos como CIA (del ingles por supuesto; Confidenciality, Integrity, Availability): confidencialidad, integridad, disponibilidad.
Mientras tanto se mantiene un enfoque en la implementación eficiente de políticas, todo sin obstaculizar la productividad de la organización.
Esto se logra en gran medida a través de un proceso estructurado de gestión de riesgos que involucra:
- Identificar información y activos relacionados, además de posibles amenazas, vulnerabilidades e impactos;
- Evaluar los riesgos;
- Decidir cómo abordar o tratar los riesgos, es decir, evitarlos, mitigarlos, compartirlos o aceptarlos;
- Donde se requiere mitigación de riesgos, seleccionar o diseñar controles de seguridad apropiados e implementarlos;
- Monitorear las actividades, haciendo los ajustes necesarios para abordar cualquier problema, cambio y oportunidad de mejora.
Para estandarizar esta disciplina, académicos y profesionales colaboran para ofrecer orientación, políticas y estándares de la industria sobre contraseña , software antivirus , cortafuegos , software de cifrado , responsabilidad legal, conocimiento de seguridad y capacitación, etc.
Esta estandarización puede ser impulsada por una amplia variedad de leyes y regulaciones que afectan la forma en que se accede, procesa, almacena, transfiere y destruye la información. Sin embargo, la implementación de cualquier norma y orientación dentro de una entidad puede tener un efecto limitado si no se adopta una cultura de mejora continua .
- Confidencialidad: significa que la información no se divulga a personas, entidades y procesos no autorizados. Por ejemplo, si decimos que tengo una contraseña para mi cuenta de Gmail pero alguien vio mientras estaba iniciando sesión en la cuenta de Gmail. En ese caso, mi contraseña se ha visto comprometida y se ha violado la confidencialidad.
- Integridad: significa mantener la precisión y la integridad de los datos. Esto significa que los datos no se pueden editar de forma no autorizada. Por ejemplo, si un empleado deja una organización, en ese caso, los datos de ese empleado en todos los departamentos, como cuentas, deben actualizarse para reflejar el estado a ex-trabajador para que los datos estén completos y sean precisos y, además de esto, solo se debe permitir que la persona autorizada editar datos de empleados.
- Disponibilidad: significa que la información debe estar disponible cuando sea necesario. Por ejemplo, si uno necesita acceder a la información de un empleado en particular para verificar si el empleado ha superado el número de licencias, en ese caso requiere la colaboración de diferentes equipos organizacionales como operaciones de red, operaciones de desarrollo, respuesta a incidentes y gestión de políticas / cambios.
El ataque de denegación de servicio es uno de los factores que puede dificultar la disponibilidad de información.
Aparte de esto, hay un principio más que rige los programas de seguridad de la información. Esto es no repudio.
- No repudio: significa que una parte no puede negar recibir un mensaje o una transacción ni la otra parte puede negar el envío de un mensaje o una transacción. Por ejemplo, en criptografía es suficiente mostrar que el mensaje coincide con la firma digital firmada con la clave privada del remitente y que el remitente podría haber enviado un mensaje y nadie más podría haberlo alterado en tránsito. La integridad de los datos y la autenticidad son requisitos previos para el no repudio.
- Autenticidad: significa verificar que los usuarios son quienes dicen ser y que cada entrada que llega al destino proviene de una fuente confiable. Este principio, si se sigue, garantiza el mensaje válido y genuino recibido de una fuente confiable a través de una transmisión válida. Por ejemplo, si tomamos el ejemplo anterior, el remitente envía el mensaje junto con la firma digital que se generó utilizando el valor hash del mensaje y la clave privada. Ahora, en el lado del receptor, esta firma digital se descifra utilizando la clave pública que genera un valor hash y el mensaje se vuelve a cifrar para generar el valor hash. Si el valor 2 coincide, entonces se conoce como transmisión válida con el auténtico o decimos mensaje genuino recibido en el lado del destinatario
- Rendición de cuentas: significa que debería ser posible rastrear las acciones de una entidad únicamente para esa entidad. Por ejemplo, como discutimos en la sección Integridad, no todos los empleados deberían poder hacer cambios en los datos de otros empleados. Para esto, hay un departamento separado en una organización que es responsable de realizar dichos cambios y cuando reciben una solicitud de cambio, esa carta debe ser firmada por una autoridad superior, por ejemplo, el Director de la universidad y la persona a la que se le asigna ese cambio. cambian después de verificar sus métricas biológicas, por lo tanto, se registran los datos de la marca de tiempo con el usuario (haciendo cambios). Por lo tanto, podemos decir que si un cambio es así, entonces será posible rastrear las acciones de forma única a una entidad.
El núcleo de la seguridad de la información es la garantía de la información, que significa el acto de mantener la información de la CIA (las siglas, el acrónimo anglosajón que mencionamos más arriba, no de la agencia de seguridad norteamericana… no faltará el elevado que se confunda), asegurando que la información no se vea comprometida de ninguna manera cuando surjan problemas críticos.
Estos problemas no se limitan a desastres naturales, mal funcionamiento de la computadora / servidor, etc.
Por lo tanto, el campo de la seguridad de la información ha crecido y evolucionado significativamente en los últimos años. Ofrece muchas áreas de especialización, que incluyen proteger redes e infraestructura aliada, proteger aplicaciones y bases de datos, pruebas de seguridad, auditoría de sistemas de información, planificación de continuidad comercial, etc.
Otra definición
Fundamentalmente, la seguridad de la información es la aplicación de controles administrativos, físicos y técnicos en un esfuerzo por proteger la confidencialidad, integridad y / o disponibilidad de información.
Para que podamos comprender esta declaración, debemos desglosar algunos conceptos bien establecidos de seguridad de la información; Control administrativo, control físico, control técnico; comencemos.
Control administrativo
– Aborda los factores humanos de la seguridad de la información. Por lo general, los controles administrativos vienen en forma de directivas de gestión, políticas, pautas, estándares y / o procedimientos. Buenos ejemplos de controles administrativos son:
Políticas de seguridad de la información.
Programas de capacitación y sensibilización.
Planes de continuidad comercial y / o recuperación ante desastres
Procedimientos de contratación y rescisión
Control físico
– Aborda los factores físicos de la seguridad de la información. Los controles físicos suelen ser el tipo de control más fácil para que las personas se relacionen. Los controles físicos generalmente se pueden tocar y / o ver. Controlan el acceso físico a la información. Buenos ejemplos de controles físicos son:
Cerraduras
Cercas
Sistemas de alarma de
construcción Materiales de construcción
Control técnico
– Aborda los factores técnicos de la seguridad de la información. Los controles técnicos utilizan tecnología para controlar el acceso. Gran parte de la información que usamos todos los días no se puede tocar, y muchas veces el control tampoco. Algunos buenos ejemplos de controles técnicos son:
Cortafuegos
Listas de control de acceso
Permisos de archivos
Software antivirus
Leer también: Riesgos de seguridad asociados a un Vpn para personas externas a nuestra organización; Cómo aumentar la privacidad de los datos y mantener su información segura; Arquitectura de la información heurística, checklist
This post is also available in:
Español
