¿Qué es la seguridad de la información?
Es el conjunto de mecanismos y actividades que aplicamos para proteger la información. Y junto con ella proteger también los procesos de nuestro negocio, que funcionan utilizando, precisamente, información.
De una parte, los procesos ordinarios utilizan información: clientes, productos, precios, contratos, etc. Y por otra, la propia toma de decisiones de una organización se basa en la información que se tiene de la propia organización, el mercado y el contexto. La información es, por tanto, un activo de alto valor.
Para poder proteger la información no solo basta hacerlo con sus soportes, los almacenes de datos. Sino que también están implicados todos los sistemas informáticos implicados en su gestión y tratamiento, así como las comunicaciones.
Proteger la información consiste en mantener sus tres pilares: confidencialidad, integridad y disponibilidad.
Proteger la confidencialidad es evitar que las personas no autorizadas accedan a la información. A menudo se piensa sólo en esta característica. Pero como veremos, no es suficiente para asegurar que una organización pueda continuar sus procesos de negocio.
La integridad es la propiedad de la información de mantenerse correcta, sin alteraciones no autorizadas. Como posible alteración no autorizada se incluye, obviamente, su destrucción. En general, la alteración de la información puede provocar un mayor daño, dado que la toma de decisiones y las operaciones de la organización se producen sobre información incorrecta.
Finalmente, la disponibilidad consiste en asegurar que la información estará accesible siempre que se necesite, obviamente, por el personal autorizado. En la mayoría de los casos es la propiedad más importante. Y en muchas ocasiones la menos atendida.
En base a estos grandes pilares podríamos redefinir o detallar la seguridad de la información como los mecanismos destinados a garantizar que la información esté disponible para la organización y sus procesos (disponibilidad); que es la información correcta, sin alteraciones no autorizadas (integridad); y que no se producen accesos no autorizados (confidencialidad).
Análisis de riesgos de seguridad
Los riesgos para la seguridad de la información son muy diversos tanto en su origen y causas como en su motivación y efectos. Debemos tratarlos siempre no solo como un riesgo para la información, sino como un riesgo para la continuidad del negocio.
En cuanto a los elementos afectados podemos identificar dos grandes tipos de riesgos: físicos y lógicos. Los primeros son los que afectan a la infraestructura de los sistemas de información y las comunicaciones. Incluyen, entre otros: incendios, inundaciones, fluctuaciones de tensión eléctrica, desastres naturales, robos y otras roturas. Mientras que los segundos afectan a los propios datos: robo, acceso y manipulación no autorizados; o al software que utilizamos en su gestión.
Vistos los ejemplos anteriores podemos establecer una importante clasificación según la motivación. En muchas ocasiones identificamos el hacking y la delincuencia como únicos riesgos para la información. Pero no son menos importantes los riesgos no intencionados.
No debemos confundir información con información digital. La información en soportes físicos: documentos en papel, tarjetas, unidades móviles, etc. debe ser también objeto de la seguridad de la información. En tanto que también forma parte de la continuidad del negocio y/o puede ser motivo de robo y vulneración de la confidencialidad.
Como clasificación de los mecanismos de seguridad podemos identificar:
Autenticación:
Elementos y procesos encaminados a identificar a los usuarios de los sistemas y la información.
Autorización:
Los utilizados para determinar los permisos o grados de acceso que puede tener cada usuario.
Control de acceso
Sistemas que impidan el acceso a la información y los sistemas. Puede ser físicos: puertas de seguridad, códigos de acceso, tarjetas de acceso, etc.; o lógicos: pantallas de acceso.
Back-up:
Creación de copias de los datos para evitar su pérdida. Especialmente importantes ante grandes desastres o malware de encriptación de datos.
Redundancia:
Instalación y configuración de medios alternativos que garanticen la continuidad del negocio ante fallos de distinto grado en la infraestructura.
Encriptación:
Codificación de la información almacenada. De forma que el acceso físico a su soporte no permita su utilización. Y codificación de la información transmitida para evitar el acceso o manipulación directamente sobre las redes de comunicaciones.
Destrucción de soportes:
Una vez que ciertos soportes, especialmente los físicos como el papel o unidades móviles, dejan de ser necesarios, conviene reducir el número de copias. Esto reduce las posibilidades de acceso y robo.
Auditoría:
Consistente en que los propios sistemas dejen constancia de los accesos y operaciones de manipulación de cara a su análisis posterior, e identificar vulnerabilidades.
Vemos, por tanto, que en cuanto a la seguridad de la información existe una compleja confluencia de motivos, técnicas de ataque, efectos y técnicas de protección. Se requiere, por tanto, de formación actual y específica en la materia.
Normativas y políticas de seguridad de la información
La seguridad de la información no puede ser fruto de la improvisación. Tampoco conviene hacer una aplicación completa de todas las técnicas o medidas posibles. Pues cada una tendrá su coste tanto en la implementación como la posible complejidad que se añade a los procesos del negocio. Para maximizar la protección sin disparar estos costes es muy importante analizar la situación y planificar cuidadosamente qué proteger, de qué protegerlo y cómo protegerlo.
Para realizar tanto una buena planificación como el control de la implementación de las medidas, las distintas normas o estándares son de gran ayuda. Es importante estudiarlos. Destacamos tres:
RGPD - Reglamento Europeo de Protección de Datos:
Normativa europea sobre la protección de datos personales, su uso por parte de entes públicos y privados y la libre circulación de los mismos.
ISO 27001 - Norma internacional de Seguridad de la Información:
Especialmente efectiva en cuanto a la definición y ejecución de los procesos de seguridad propios de una organización.
ENS - Esquema Nacional de Seguridad:
Norma nacional para el aseguramiento de los sistemas informáticos y sus datos. Se centra especialmente en las condiciones o características que deben cumplir los sistemas, para las que ofrecen validaciones concretas de como auditarlas. Es de obligado cumplimiento en el ámbito público.
Frente al coste de los mecanismos de seguridad, y como principales motivaciones para aplicarlos, tenemos los llamados «costes de no seguridad». Es decir, la valoración del coste que para una organización puede tener el robo de información o la no disponibilidad de los mismos. En este sentido las principales medidas son:
Sanciones: el propio RGPD establece sanciones de hasta 10 millones de euros o el 2% de la facturación anual de una organización.
Indisponibilidad: el no disponer de la información, o de los propios sistemas utilizados en su gestión equivalen a la paralización de los procesos de negocio, por tanto, su coste se establece directamente de forma proporcional a su facturación. Por ejemplo, una organización paralizada 2 horas estima el coste de dicha parálisis en 2/1800 de su facturación.
Concluimos este artículo destacando el valor que hoy día tiene para una organización poner en práctica las medidas de seguridad necesarias para preservar sus datos, procesos de negocio y toma decisiones, y por tanto, contar con profesionales formados en esta materia. Incluso en los casos de subcontratación, en los que contaremos con profesionales externos para auditar nuestros sistemas o implementar medidas, es de vital importancia contar con personal propio que pueda supervisar estas operaciones.
