¿Qué es la Seguridad de la Información?

Cualquier compañía, empresa, institución u organización del mundo que maneje datos importantes debe hacer un énfasis en lo que refiere a la seguridad de dichos datos, en otras palabras, se debe tener un buen enfoque de cara a la seguridad de la información.

Esta llamada seguridad de la información implica la protección de cualquier tipo de dato o registros que sean importantes mantener en privado, como podría ser por ejemplo en el caso de una empresa los datos de sus clientes, cifras de ventas, números de tarjetas de crédito etc.

Gracias a los últimos avances en materia de tecnología, la información se encuentra cada vez más segura, ya que mediante sistemas modernos es posible evitar engaños y accesos indeseados, haciendo que solo el personal deseado pueda tener acceso a un cierto conjunto de datos.

Al mismo tiempo, cada vez hay más reportes de datos expuestos, lo cual parece bastante contradictorio. Por eso hoy desde este artículo exploraremos todo sobre infosec, el concepto y definición de seguridad de la información, sus objetivos, diferencias con ciberseguridad, y tipos de seguridad de la información que existen. Sigue leyendo.

qué es la seguridad de la información y la normalISO 27001

Contenido

¿Qué es la Seguridad de la Información (Infosec)?

La seguridad de la información se puede definir como las reglas y técnicas que se apliquen para mantener una cierta información segura y en los límites marcados por la compañía u organización que esté a cargo de manejar dichos datos.

Cabe mencionar que la seguridad de la información (infosec) ha ido evolucionando a lo largo de la historia. Si bien es un concepto muy relacionado con la informática hoy en día, esto lógicamente no siempre fue así.

Desde hace muchos cientos de años se han utilizado distintos métodos para proteger información y datos valiosos, siendo quizá el más usado de todos la encriptación, que antiguamente consistía en guardar la información de forma codificada, es decir, no escrita en un lenguaje corriente, sino de forma tal que se necesitara una clave para poder comprender qué se había escrito.

En la actualidad también se utilizan este tipo de técnicas, y muchas otras, para mantener datos e información asegurados y así evitar que caigan en manos de terceros a los cuales no les corresponde.

Objetivos

Como ya hemos dicho, el objetivo de la seguridad de la información es proteger la información o datos que sean designados y evitar que los mismos caigan en manos de personas que no estén autorizados a hacer uso de ellos.

Para lograr este cometido las empresas que disponen de esta clase de sistemas adoptan distintos tipos de medidas y técnicas, de forma que la información se mantenga protegida y no pueda ser robada, manipulada, borrada, etc.

Hoy en día la información correcta puede ser muy peligrosa en las manos equivocadas, por lo tanto es necesario definir tres aspectos para que la información pueda ser clasificada:

  • El primero de estos aspectos es qué tan crítica es la información, es decir, que tan indispensable puede llegar a ser para una empresa, organización o individuos.
  • El segundo aspecto es el valor que posee es información, ya que en algunos casos la misma puede ser utilizada de forma que perjudique o beneficie a otros.
  • El tercer aspecto es la sensibilidad, la información debe poder ser accedida solo por aquéllos que tengan la autorización suficiente para hacerlo.

Diferencia entre Ciberseguridad y Seguridad de la Información

Ya hemos visto qué es exactamente la seguridad de la información, ¿pero es ésta distinta a la seguridad informática o ciberseguridad? Pues sí y no.

Sucede que actualmente la mayor parte de la información se almacena en sistemas informáticos, sin embargo la ciberseguridad implica solo a sistemas computarizados, mientras que la seguridad de la información es un término más general que va más allá de la seguridad informática.

La ciberseguridad se enfoca en la protección de los datos que se almacenan en sistemas informáticos, como puede ser por ejemplo computadoras, redes de equipos y servidores de datos, web hosting, etc.

Otro aspecto clave en el que se enfoca la ciberseguridad y que la hace distinta a la seguridad de la información es que la seguridad en términos informáticos no refiere solo a la protección de datos, sino tambén a la protección de sistemas y aplicaciones en sí.

En el mundo de la informática existen distintas formas de atacar un sistema, y esto se puede llevar a cabo con distintos objetivos. El robo de información a veces es uno de ellos, pero también existen escenarios en donde lo que se busca es solamente interrumpir un servicio o dejar fuera de línea, como podría ser por ejemplo el caso un servidor que sea atacados para hacer que un sitio web se vuelva inaccesible.

Cabe mencionar que la seguridad informática se enfrenta a gran cantidad de amenazas de distintos tipo, ya que si bien el avance de las tecnologías de la información brinda nuevas formas de protección también da lugar a la creación de amenazas, algunas de las cuales pueden ser:

  • Virus y malware: los virus informático y cualquier tipo de software malicioso son muy peligrosos para la ciberseguridad, ya que pueden llegar a comprometer sistemas enteros.
  • Usuarios: los usuarios son quizá el eslabón más débil en la cadena de la ciberseguridad, ya que a veces las acciones que estos llevan a cabo pueden resultar en agujeros de seguridad en un sistema.
  • Personal: el personal a cargo de sistemas, de computadoras, de una red o de servidores dedicados o cloud hosting también representa una posible amenaza, ya que en el caso de algún problema laboral o una disputa interna, es el personal quien cuenta con los medios más rápidos para sabotear un sistema.
  • Catástrofes naturales y siniestros: ningún medio físico o virtual que está basado en uno físico está a salvo si hay algún tipo de catástrofe natural de por medio, como puede ser el caso de tornados, terremotos, erupciones volcánicas, etc. Lo mismo aplica a los siniestros como pueden ser robos, incendios, derrumbes, accidentes, etc.
  • Fallos en la programación: la programación de un sistema, es decir, su código, puede tener fallos de seguridad o agujeros de seguridad que pueden ser explotados por un tercero para lograr acceso al sistema en cuestión o para el robo de datos.

En resumen, si bien a menudo la seguridad de la información es confundida con la seguridad digital o cyberseguridad, se trata en realidad de dos conceptos distintos. Ambos hacen énfasis en la protección de datos, pero la diferencia principal es que la ciberseguridad se enfoca en la protección de información en sistemas informáticos.

El objetivo de la seguridad de la información (también llamada infosec) por otro lado, es que los datos que estén protegidos no se filtren hacia fuera de los límites establecidos por la empresa o institución en cuestión (y que no pase como en los recientes casos de LabCorp reportado por KrebsonSecurity, el famoso software de diseño Canva, o los repetidos casos de Facebook y su pobre manejo de la información de sus usuarios).

Tipos de Seguridad de la Información

¿Qué tipos de seguridad de la información existen? ¿Se deben tratar a todos los datos de la misma manera a nivel de seguridad informática? Veamos los siguientes ejemplos:

Seguridad de aplicaciones

En la actualidad la mayor parte de los ataques que recibe un sistema informático o un sitio web se realiza mediante la aplicación en sí, es decir, no va orientado contra el sistema o contra su red.

Las aplicaciones que una empresa pueda desarrollar deben ser extremadamente seguras, ya que será por allí por donde un ataque intentará llevar a cabo sus objetivos primero, ya que resulta ser la primera capa de interacción y la más accesible, siendo a menudo pública.

Es importante que si es una aplicación es insegura la misma sea parcheada rápidamente, lo cual evitará mayores pérdidas de información, manipulación de datos, etc. De hecho tiene incluso más peso que las aplicaciones directamente cuenten con las mejores medidas de seguridad antes de estar disponibles para el público en general, esto ahorra tiempo de trabajo y recursos frente a fallos que sean detectados posteriormente.

Seguridad Cloud

La seguridad cloud o seguridad en la nube refiere a las prácticas que son llevadas a cabo para proteger la información y los sistemas que están basados en la nube informática.

Este tipo de seguridad es similar a la de la informática tradicional, aunque cuenta con las ventajas de la nube, lo cual implica por ejemplo menores costos de operación, una mejor utilización de recursos, un menor costo según los recursos utilizados y una escalabilidad mucho más rápida.

Criptografía

La criptografía, codificación o encriptación es el nombre que podemos dar a un conjunto de técnicas que se utilizan para que ciertos datos puedan ser leídos solo por quienes posean la clave necesaria.

Quienes no posean la clave necesaria para leer los datos que están encriptados no serán capaces de entender lo que están viendo, mientras que quienes sí posean dicho conocimiento podrán leerlo fácilmente.

Seguridad en Infraestructura

Se trata de las técnicas y normativas que se usan para proteger una infraestructura de sistemas y servicios. En general la seguridad en infraestructura se puede dividir en distintas capas, como por ejemplo: hardware, software de sistema, gestión de usuarios, sistemas de almacenamiento en la nube, sistema de comunicación y redes y finalmente sistemas de operaciones.

Cada una de las capas mencionadas cuenta con sus propias reglas y procedimientos de seguridad, las cuales en su conjunto darán forma a la seguridad de toda la infraestructura.

Respuesta a incidentes

La respuesta a un incidente de seguridad en el marco de la informática es de carácter muy importante, ya que si se da un caso en que la seguridad de un sistema sea vulnerada se debe poder responder a dicho incidente de forma rápida, contundente y eficiente.

Es importante que la respuesta a incidentes sea planeada de antemano, así se logrará trabajar de forma más efectiva sin necesidad de improvisar sobre la marcha.

Manejo de vulnerabilidades

Existen distintos métodos que se utilizan para manejar las vulnerabilidades frente a las cuales una organización o empresa se pueda encontrar. Lo primero es la identificación de sistemas: se deben identificar los sistemas vulnerables para así poder dar una prioridad a los mismos.

Los escaneos de vulnerabilidades vienen en segundo lugar, ya que es imprescindible realizar este tipo de pruebas para poder fiarse de la seguridad de un sistema. En caso de que se detecten vulnerabilidades, el siguiente paso será realizar un análisis de las mismas.

Gracias al análisis de las vulnerabilidades será posible aplicar parches de seguridad para las mismas, tras lo cual solo será necesario realizar un nuevo escaneo y si todo se encuentra correcto, realizar monitoreo y mantenimiento proactivo.

Norma ISO/IEC 27001: Estándar de Seguridad de la Información

El ISO/IEC 27001 es un estándar de seguridad de la información o infosec que fue publicado en el año 2005. Esta norma básicamente describe las mejores prácticas que se pueden llevar a cabo para mantener una óptima seguridad de la información dentro de una empresa.

Las prácticas de la ISO 27001 se pueden llevar a cabo en cualquier tipo de empresa u organización, sin importar el tamaño de la misma. Se trata del estándar más usado en el mundo en lo que a seguridad de la información refiere, y uno que cada vez es adoptado por más cantidad de empresa.

Consiste en dos aspectos sencillos:

  • Primero que nada se debe realizar una investigación y evaluación de riesgos, lo cual por supuesto implica cualquier potencial problema de seguridad que se puede dar.
  • En segundo lugar los riesgos o problemas detectados deben ser tratado según sea necesario, y este último punto implica además contar con la documentación necesaria para poder evitar dichos riesgos.

El estándar ISO 27001 aplica no solo a lo que a sistemas informáticos refiere, sino a todos los aspectos de una empresa u organización, incluyendo por ejemplo personal y recursos humanos, estructuras, protección física y también en el ámbito jurídico.

Conclusión

Como hemos podido ver la seguridad de la información es un concepto que abarca muchas áreas distintas y se desarrolla llevando a cabo distintas prácticas y basándose en distintas reglas o normativas.

Tiene como objetivo evitar la filtración, robo y manipulación de cualquier tipo de dato o información que pueda ser considerado como crítico, de alto valor o muy sensible.

Hoy en día la seguridad de la información es un concepto muy relacionado con la ciberseguridad, sin embargo este último aplica solo a la seguridad en sistemas informáticas, mientras que la seguridad de la información aplica a cualquier ámbito que implique el almacenamiento de información o datos que deben permanecer en privado.


Artículos relacionados:

Deja un comentario