SEGURIDAD DE LA INFORMACION

INTRODUCCIÓN

La seguridad de la información del siglo XXI es muy diferente a la sociedad del siglo anterior. Un día normal para cualquiera de nosotros, requiere el uso de sistemas de información, tecnología y redes informáticas. Los servicios críticos de nuestra sociedad (distribución de servicios básicos, servicios financieros, medios de transporte, sanidad, etc.) dependen en gran parte de los sistemas de información para su correcto funcionamiento. Son muchos los retos que enfrentan los sistemas de los que depende la sociedad, la creciente amenaza de virus, códigos maliciosos y la cyber delincuencia en general, ha despertado un gran interés por la seguridad de la información. Existen muchas definiciones de seguridad de la información, Álvaro Goméz Vieites en su libro “Enciclopedia de seguridad informática” la define como “Cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática”, el vocabulario estándar de la familia ISO 27000 y que lleva el mismo nombre, la define como “La preservación de la confidencialidad, integridad y disponibilidad de la información”. En esencia, estos tres pilares conocidos como el “CIA” (del inglés Confidentiality, Integrity, Availability) son el soporte de la seguridad de la información, una amenaza siempre afecta alguno o varios de estos pilares, igualmente los controles siempre estarán orientados a mejorar algún aspecto relacionados con el mencionado “CIA”. ISO 27000 define los tres pilares así:

• Confidencialidad: La propiedad de que la información sólo este disponible para individuos, entidades o procesos autorizados.

• Integridad: La propiedad de proteger la exactitud y completitud de los activos. (Pueden entenderse como activos todo aquello que tiene valor para la organización, algunos de ellos son: la información, el software, los activos físicos, los servicios, las personas, los intangibles como reputación e imagen).

• Disponibilidad: La propiedad de estar accesible y usable bajo demanda por una entidad autorizada. Existen otras características cuyo valor es tan alto que algunos expertos han propuesto su inclusión como un pilar más de la seguridad, los más importantes son tal vez la Autenticidad y el no-repudio.

LA SEGURIDAD

Cuando se habla de seguridad, les viene a la cabeza la protección ante incendios, inundaciones, robos, etc. Pero la seguridad no acaba ahí, se compone también de la seguridad lógica, es decir, salvaguardar la confidencialidad y la autenticidad de los ficheros, datos, sistemas, etc.

Pero para llevar a término esta tarea se ha de tomar conciencia de la importancia de la seguridad, especialmente por parte de los directivos. Como se suele decir, "una cadena es tan fuerte como eslabón más débil", es decir, los sistemas de seguridad, físicos y lógicos, pueden ser de última generación y a un nivel máximo, pero todo esto no sirve de nada si algún empleado es descuidado y no elimina los documentos confidenciales, o no guarda convenientemente su clave de acceso al sistema, o un tercero logra engañarle y obtiene la información que necesita para acceder al sistema sin estar autorizado (ingeniería social), etc. Todos estos aspectos son eslabones débiles de la cadena, y por tanto son puntos débiles que hay que reforzar, o nuestra cadena será tan débil como ellos.

Ningún sistema de seguridad, por bueno que sea, es fiable al cien por cien. Esta ha de ser la regla básica para conseguir una seguridad mejor; nunca se ha de estar conforme con el nivel de seguridad que se tiene, porque cada día aparecen nuevos métodos de vulneración de los sistemas de seguridad antiguos, y nosotros nos hemos de mover con los tiempos, y estar informados de cualquier cambio en ese sentido, pues, por ejemplo, en la seguridad lógica nos podemos quedar desfasados (y por ello inseguros) en muy poco tiempo, porque el campo de la informática cambia continuamente. Además hemos de tener en cuenta que en determinadas páginas Web, listas de distribución, y grupos de noticias se divulgan todos los agujeros que se conocen de los sistemas de seguridad, ello quiere decir que si no se toman las medidas oportunas para remediar ese fallo, cualquier persona podrá fácilmente vulnerar nuestro sistema, ya que el fallo se divulga "a bombo y platillo", sobretodo entre la comunidad hacker.

SEGURIDAD DE LA INFORMACIÓN

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoria de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.

CONCEPCIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor. Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo. La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

• Crítica: Es indispensable para la operación de la empresa.

• Valiosa: Es un activo de la empresa y muy valioso.

• Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

• Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas. Los riesgos más perjudiciales son a las tecnologías de información y comunicaciones.

• Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.1 Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información. Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración. Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial. Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran. La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera.

En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma.

Por

...