Identifica los riesgos en materia de Seguridad de la Información

900 100 957 | 619 926 324

 

Identifica los riesgos en materia de Seguridad de la Información

COMPARTIR
 
 
Valora este artículo
(6 votos)
Escrito por Martes, 19 Enero 2021 12:00

Junto con los avances tecnológicos llegan nuevos conceptos, nuevas áreas de conocimiento, nuevos nichos de estudio... y uno de ellos es la Seguridad de la Información. Todos tenemos alguna idea sobre esta materia y su importancia.

Pero realmente: ¿Qué es la Seguridad de la Información? ¿En qué consiste?

¿Qué es la seguridad de la información?


Es el conjunto de mecanismos y actividades que aplicamos para proteger la información. Y junto con ella proteger también los procesos de nuestro negocio, que funcionan utilizando, precisamente, información.

De una parte, los procesos ordinarios utilizan información: clientes, productos, precios, contratos, etc. Y por otra, la propia toma de decisiones de una organización se basa en la información que se tiene de la propia organización, el mercado y el contexto. La información es, por tanto, un activo de alto valor.

Para poder proteger la información no solo basta hacerlo con sus soportes, los almacenes de datos. Sino que también están implicados todos los sistemas informáticos implicados en su gestión y tratamiento, así como las comunicaciones.

Proteger la información consiste en mantener sus tres pilares: confidencialidad, integridad y disponibilidad.

Proteger la confidencialidad es evitar que las personas no autorizadas accedan a la información. A menudo se piensa sólo en esta característica. Pero como veremos, no es suficiente para asegurar que una organización pueda continuar sus procesos de negocio.

La integridad es la propiedad de la información de mantenerse correcta, sin alteraciones no autorizadas. Como posible alteración no autorizada se incluye, obviamente, su destrucción. En general, la alteración de la información puede provocar un mayor daño, dado que la toma de decisiones y las operaciones de la organización se producen sobre información incorrecta.

Finalmente, la disponibilidad consiste en asegurar que la información estará accesible siempre que se necesite, obviamente, por el personal autorizado. En la mayoría de los casos es la propiedad más importante. Y en muchas ocasiones la menos atendida.

En base a estos grandes pilares podríamos redefinir o detallar la seguridad de la información como los mecanismos destinados a garantizar que la información esté disponible para la organización y sus procesos (disponibilidad); que es la información correcta, sin alteraciones no autorizadas (integridad); y que no se producen accesos no autorizados (confidencialidad).

 persona trabajando en seguridad de la información

Análisis de riesgos de seguridad


Los riesgos para la seguridad de la información son muy diversos tanto en su origen y causas como en su motivación y efectos. Debemos tratarlos siempre no solo como un riesgo para la información, sino como un riesgo para la continuidad del negocio.

En cuanto a los elementos afectados podemos identificar dos grandes tipos de riesgos: físicos y lógicos. Los primeros son los que afectan a la infraestructura de los sistemas de información y las comunicaciones. Incluyen, entre otros: incendios, inundaciones, fluctuaciones de tensión eléctrica, desastres naturales, robos y otras roturas. Mientras que los segundos afectan a los propios datos: robo, acceso y manipulación no autorizados; o al software que utilizamos en su gestión.

Vistos los ejemplos anteriores podemos establecer una importante clasificación según la motivación. En muchas ocasiones identificamos el hacking y la delincuencia como únicos riesgos para la información. Pero no son menos importantes los riesgos no intencionados.

No debemos confundir información con información digital. La información en soportes físicos: documentos en papel, tarjetas, unidades móviles, etc. debe ser también objeto de la seguridad de la información. En tanto que también forma parte de la continuidad del negocio y/o puede ser motivo de robo y vulneración de la confidencialidad.



Como clasificación de los mecanismos de seguridad podemos identificar:


Autenticación:

Elementos y procesos encaminados a identificar a los usuarios de los sistemas y la información.


Autorización:

Los utilizados para determinar los permisos o grados de acceso que puede tener cada usuario.


Control de acceso

Sistemas que impidan el acceso a la información y los sistemas. Puede ser físicos: puertas de seguridad, códigos de acceso, tarjetas de acceso, etc.; o lógicos: pantallas de acceso.


Back-up:

Creación de copias de los datos para evitar su pérdida. Especialmente importantes ante grandes desastres o malware de encriptación de datos.


Redundancia:

Instalación y configuración de medios alternativos que garanticen la continuidad del negocio ante fallos de distinto grado en la infraestructura.


Encriptación:

Codificación de la información almacenada. De forma que el acceso físico a su soporte no permita su utilización. Y codificación de la información transmitida para evitar el acceso o manipulación directamente sobre las redes de comunicaciones.


Destrucción de soportes:

Una vez que ciertos soportes, especialmente los físicos como el papel o unidades móviles, dejan de ser necesarios, conviene reducir el número de copias. Esto reduce las posibilidades de acceso y robo.


Auditoría:

Consistente en que los propios sistemas dejen constancia de los accesos y operaciones de manipulación de cara a su análisis posterior, e identificar vulnerabilidades.


Vemos, por tanto, que en cuanto a la seguridad de la información existe una compleja confluencia de motivos, técnicas de ataque, efectos y técnicas de protección. Se requiere, por tanto, de formación actual y específica en la materia.

 seguridad en un servidor de internet

Normativas y políticas de seguridad de la información

La seguridad de la información no puede ser fruto de la improvisación. Tampoco conviene hacer una aplicación completa de todas las técnicas o medidas posibles. Pues cada una tendrá su coste tanto en la implementación como la posible complejidad que se añade a los procesos del negocio. Para maximizar la protección sin disparar estos costes es muy importante analizar la situación y planificar cuidadosamente qué proteger, de qué protegerlo y cómo protegerlo.


Para realizar tanto una buena planificación como el control de la implementación de las medidas, las distintas normas o estándares son de gran ayuda. Es importante estudiarlos. Destacamos tres:


RGPD - Reglamento Europeo de Protección de Datos:

Normativa europea sobre la protección de datos personales, su uso por parte de entes públicos y privados y la libre circulación de los mismos.


ISO 27001 - Norma internacional de Seguridad de la Información:

Especialmente efectiva en cuanto a la definición y ejecución de los procesos de seguridad propios de una organización.


ENS - Esquema Nacional de Seguridad:

Norma nacional para el aseguramiento de los sistemas informáticos y sus datos. Se centra especialmente en las condiciones o características que deben cumplir los sistemas, para las que ofrecen validaciones concretas de como auditarlas. Es de obligado cumplimiento en el ámbito público.

Frente al coste de los mecanismos de seguridad, y como principales motivaciones para aplicarlos, tenemos los llamados «costes de no seguridad». Es decir, la valoración del coste que para una organización puede tener el robo de información o la no disponibilidad de los mismos. En este sentido las principales medidas son:

Sanciones: el propio RGPD establece sanciones de hasta 10 millones de euros o el 2% de la facturación anual de una organización.

Indisponibilidad: el no disponer de la información, o de los propios sistemas utilizados en su gestión equivalen a la paralización de los procesos de negocio, por tanto, su coste se establece directamente de forma proporcional a su facturación. Por ejemplo, una organización paralizada 2 horas estima el coste de dicha parálisis en 2/1800 de su facturación.



Concluimos este artículo destacando el valor que hoy día tiene para una organización poner en práctica las medidas de seguridad necesarias para preservar sus datos, procesos de negocio y toma decisiones, y por tanto, contar con profesionales formados en esta materia. Incluso en los casos de subcontratación, en los que contaremos con profesionales externos para auditar nuestros sistemas o implementar medidas, es de vital importancia contar con personal propio que pueda supervisar estas operaciones.

 

chica estudiando un curso sobre seguridad de la información

 

Visto 498 veces

Newsletter:

Suscríbete a nuestra newsletter y recibe en tu correo electrónico los mejores cursos del momento, contenidos exclusivos sobre formación y empleo,...¡y mucho más!
captcha 
Estoy de acuerdo con el Acepto la Política de Privacidad

¡Síguenos en las redes!

Ayúdanos a mejorar:

Ayúdanos a mejorar

Tenemos en el horno un montón de contenidos para nuestro Blog a puntito de salir, pero como nuestro objetivo es que tu experiencia sea lo más satisfactoria posible, nos gustaría saber sobre qué temáticas o contenidos te gustaría leer o qué tipo de contenido te resultaría más útil.

Rellenando esta breve encuesta, nos ayudarás a crear un espacio acorde con tus preferencias y las del resto de usuarios.