Seguridad de la información empresarial

La seguridad de la información empresarial es el conjunto de medidas preventivas, reactivas y correctivas que permitan mantener la calidad de la información en sus tres pilares: Integridad, Disponibilidad y Confidencialidad.

El campo de la seguridad de la información empresarial es bastante amplio y ha venido creciendo desde la segunda guerra mundial principalmente por el uso de diferentes tecnologías que permiten su tratamiento y que al mismo tiempo deben someterse a diferentes medidas que garanticen la calidad de la información, de ahí nace también la seguridad de la información empresarial desde el punto de vista infomrático, que es el conjunto de medidas cuyo fin es similar (mantener los tres pilares de la información) pero enfocándose en el aspecto tecnológico.

La seguridad de la información empresarial no es algo que pueda alcanzarse o lograrse de manera completa sino que es un proceso continuo que debe mantenerse y adaptarse para evitar convertir las vulnerabilidades en riesgos.

Integridad

Es una de las propiedades de la información que describe la “exactitud” de la misma, es decir, que la información no ha sufrido ninguna modificación no autorizada y se mantiene igual desde su origen hasta su lectura.

Si una persona no autorizada ingresara al sistema de información de una empresa y modificara la información de un registro se estaría vulnerando esta propiedad, para este tipo de riesgos existen diferentes tipos de medidas preventivas entre las que se destaca la firma digital.

Disponibilidad

Otra característica o condición de la información es la disponibilidad, se dice que la información posee esta propiedad cuando puede ser accedida y obtenida en completitud en cualquier momento que se requiera, es decir, que la información sea accesible.

Las tecnologías han hecho que el acceso a la información sea fácil y rápido, lo que hace unos años requería de una intensa consulta de archivos físicos hoy puede hacerse por distintos medios (tablets, PDAs, teléfonos inteligentes, etc.) lo cual ha expandido este atributo y eliminado muchas de sus limitantes a costo de ampliar sus riesgos.

Uno de los riesgos más grandes relacionados con la disponibilidad en el campo de la informática son los ataques de denegación de servicio sumado a los diferentes fallos tanto de software o hardware a los que está sujeto la tecnología.

Para garantizar la disponibilidad y disminuir los riesgos existen todo tipo de medidas como centros de datos con plantas de energía independientes, servidores espejo, replicación de datos, redes de almacenamiento, enlaces redundantes, etc. Dependiendo de los costos que una organización esté dispuesta a asumir y la importancia que la disponibilidad suponga para la misma.

Confidencialidad

La información puede permanecer inalterada y ser accesible a quien necesite, pero si al mismo tiempo alguien sin los permisos adecuados puede acceder de forma clandestina a la información esta propiedad se pierde.

La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con la debida autorización.

Existen muchísimas formas de vulnerar la confidencialidad de la información desde métodos de ingeniería social, hasta métodos más complejos como un ataque de inyección SQL para obtener credenciales de acceso.

Riesgo-Vulnerabilidad-Amenaza

Existen muchos conceptos que se engloban en el campo de la seguridad de la información empresarial, entre ellos los más comunes son riesgo, vulnerabilidad y amenaza, los cuales podrían tomarse erróneamente como sinónimos, pero en este contexto su diferencia es clave.

Riesgo

Simboliza un hecho inesperado, no calculado o no planeado que tiene un origen, que puede provocar la alteración del resultado de un conjunto de actividades y que genera unas pérdidas. De acuerdo con lo anterior los riesgos se pueden clasificar como:

  • Financieros. Organización – causa – peligro.
  • Dinámicos. Factores externos en constante cambio.
  • Estáticos. Factor humano.
  • Especulativos. Posibilidad de pérdida o ganancia.
  • Puros. Situaciones específicas con posibilidades de pérdida o ganancia.
  • Fundamentales. impersonales.
  • Particulares. Evento particular.

El riesgo está asociado a un peligro o una posibilidad de pérdida, cuando se habla de que existe una posibilidad de que hay un factor latente (quizá incontrolable) puede afectar un sistema se dice que existe una amenaza.

Amenaza

Según el efecto que ésta presente puede ser clasificada así:

  • Intercepción. Acceso a una parte del sistema.
  • Modificación. Cambio de valores o datos Interrupción.
  • Mal funcionamiento de un proceso.
  • Generación. Adición de elementos externos al sistema con fines maliciosos.

Además dependiendo del origen de la misma se clasifica como:

  • Natural.
  • Intencionada.
  • Involuntaria.

Vulnerabilidad

¿Porque existe una amenaza? Precisamente porque no existe un sistema perfecto, todo sistema tiene algún defecto donde un hecho puede provocar pérdidas. Dicho “defecto en la armadura” se conoce como vulnerabilidad y existen diferentes tipos:

  • Física.
  • Natural.
  • Humana.
  • Hardware y software.
  • Medios.
  • Emanación. (Señales inalámbricas que pueden interceptarse).
  • Comunicaciones.

Si un riesgo se hiciera realidad el resultado será un conjunto de pérdidas asociadas a ese hecho (personas, insumos, información, redes inalámbricas, software, hardware). A los elementos que están expuestos a los riesgos se les conoce como elementos de riesgo, si estos son medidos y asociados a un riesgo en particular se tiene un riesgo específico y si se calcula el total de pérdidas causadas por el conjunto de riesgos se obtiene un riesgo total.

Control informático


Cuando se habla de riesgos informáticos y de su impacto no se está hablando de “incendios” que deben “apagarse”, se está hablando de la necesidad de que existan medios para mantener a un sistema lo más seguro posible durante toda su vida útil aprovechando las ventajas de las TI, minimizando los riesgos.

Es decir, que la seguridad informática es un elemento siempre presente que se requiere para asegurar la calidad de la información. En este sentido se habla de control. Mantener controlada una situación implica que se encuentre constantemente vigilada.

Un control es un conjunto de normas, técnicas, acciones y procedimientos que mantienen una organización segura, actuando en consecuencia de sus objetivos.

Un ambiente de control es el resultado de la ejecución de buenos controles y asegura que todos los elementos de la organización estén conscientes de la importancia de mantener unos niveles estables de seguridad para lo cual es necesario la aplicación de una serie de actividades como constante monitoreo, valoración, comunicación, entre otros.

Hoy en día las empresas cuentan con una gran variedad de herramientas de software para control informático, integran diferentes servicios de control para diferentes contextos (educación, salud, financiero, etc.) algunas de estas herramientas son incluso gratuitas.

La seguridad informática no solo puede ser asegurada por software. El control completo informático incluye un cambio de actitud, inclusión de nuevas herramientas y por supuesto algunos cambios en la política laboral.

Las políticas, a diferencia de otros muchos aspectos organizacionales, son importantes porque pertenecen al más alto nivel y para realizar cambios en ellas se requiere de una concientización a nivel gerencial, se clasifican en políticas Laborales, de hardware y de software. Las políticas de seguridad informática son definidas en conjunto por directivos y los encargados de los sistemas informáticos.

Fuente: Ing. José Daniel Guerra Eraso, Software para el diagnóstico y evaluación de la seguridad de la información empresarial basado en la norma iso/iec 27001, Universidad Nacional Abierta y a Distancia.

Adaptado por la División consultoría de EvaluandoSoftware.com

 

¿qué software es apto para su empresa?

Acceda a nuestros evaluadores

Deja un comentario