Diferencia entre revisiones de «Seguridad de la información»

Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.^[1]​

El termino Seguridad de Información, Seguridad informática y garantía de la información son usados con frecuencia y aun que su significado no es el mismo, persiguen una misma finalidad al proteger la Confidencialidad, Integridad y Disponibilidad de la información; Sin embargo entre ellos existen algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque , las metodologías utilizadas, y las zonas de concentración.

La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas.

En este artículo representa un panorama general del concepto de la Seguridad de la Información y sus conceptos básicos.

Principios Básicos

Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas acumulan una gran cantidad de información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. La mayor parte de esta información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en computadoras y trasmitida a través de las redes entre los ordenadores.

En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la perdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma.

Por lo que proteger la información confidencial es un requisito del negocio, y en muchos casos también un imperativo ético y una obligación legal.

Para el individuo común, la Seguridad de la Información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

El campo de la Seguridad de la Información ha crecido y evolucionado considerablemente en los últimos años. Convirtiéndose en una carrera acreditada a nivel mundial. La misma ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, Planificación de la continuidad del negocio, Ciencia Forense Digital y Administración de Sistemas de Gestión de Seguridad por nombrar algunos.

Conceptos Importantes

Por más de veinte años la Seguridad de la Información ha declarado que la confidencialidad, integridad y disponibilidad (conocida como la Tríada CIA, del inglés: "Confidentiality, Integrity, Availability") son los principios básicos de la seguridad de la información.

La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información.

Confidencialidad

La confidencialidad es la propiedad de prevenir la divulgación de información a personas o sistemas no autorizados.

Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta en modo alguno, se ha producido una violación de la confidencialidad.

La perdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.

Integridad

Para la Seguridad de la Información, la integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad referencial en bases de datos.) La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información.

Disponibilidad

La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizado para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema.

Garantizar la disponibilidad implica también la prevención de ataque Denegación de servicio.

Otros Conceptos

Otros conceptos relacionados son:^[2]​

• Auditabilidad: Permitir la reconstrucción, revisión y análisis de la secuencia de eventos
• Identificación: verificación de una persona o cosa; reconocimiento.
• Autenticación: Proporcionar una prueba de identidad; puede puede ser algo que se sabe, que se es, se tiene o una combinación de todas.
• Autorización: Lo que se permite cuando se ha otorgado acceso
• No repudio: no se puede negar un evento o una transacción.
• Seguridad en capas: La defensa a profundidad que contenga la inestabilidad
• Control de Acceso: limitar el acceso autorizado solo a entidades autenticadas
• Métricas de Seguridad, Monitoreo: Medición de actividades de seguridad
• Gobierno: proporcionar control y dirección a las actividades
• Estrategia: los pasos que se requieren para alcanzar un objetivo
• Arquitectura: el diseño de la estructura y las relaciones de sus elementos
• Gerencia: Vigilar las actividades para garantizar que se alcancen los objetivos
• Riesgo: la explotación de una vulnerabilidad por parte de una amenaza
• Exposiciones: Áreas que son vulnerables a un impacto por parte de una amenaza
• Vulnerabilidades: deficiencias que pueden ser explotadas por amenazas
• Amenazas: Cualquier acción o evento que puede ocasionar consecuencias adversas
• Riesgo residual: El riesgo que permanece después de que se han implementado contra medidas y controles
• Impacto: los resultados y consecuencias de que se materialice un riesgo
• Criticidad: La importancia que tiene un recurso para el negocio
• Sensibilidad: el nivel de impacto que tendría una divulgación no autorizada
• Análisis de impacto al negocio: evaluar los resultados y las consecuencias de la inestabilidad
• Controles: Cualquier acción o proceso que se utiliza para mitigar el riesgo
• Contra medidas: Cualquier acción o proceso que reduce la vulnerabilidad
• Políticas: declaración de alto nivel sobre la intención y la dirección de la gerencia
• Normas: Establecer los limites permisibles de acciones y procesos para cumplir con las políticas
• Ataques: tipos y naturaleza de inestabilidad en la seguridad
• Clasificación de datos: El proceso de determinar la sensibilidad y Criticidad de la información

Tecnologías

Las principales tecnologías referentes a la seguridad de la información son:^[3]​

• Cortafuegos
• Administración de cuentas de usuarios
• Detección y prevención de intrusos
• Antivirus
• Infraestructura de llave publica
• Capas de Socket Segura (SSL)
• Conexión única "Single Sign on- SSO"
• Biométria
• Cifrado
• Cumplimiento de privacidad
• Acceso remoto
• Firma digital
• Intercambio electrónico de Datos "EDI" y Transferencia Electrónica de Fondos "EFT"
• Redes Virtuales Privadas "VPNs"
• Transferencia Electrónica Segura "SET"
• Informática Forense
• Recuperación de datos
• Tecnologías de monitoreo

Estándares de seguridad de la información

• ISO/IEC 27000-series
• ISO/IEC 27001
• ISO/IEC 17799

Otros estándares relacionados

• COBIT
• ISACA
• ITIL

Certificaciones

• CISM - CISM Certificaciones : Certified Information Security Manager
• CISSP - CISSP Certificaciones : Security Professional Certification
• GIAC - GIAC Certificaciones : Global Information Assurance Certification

Certificaciones independientes en seguridad de la información

• CISA- Certified Information Systems Auditor , ISACA
• CISM- Certified Information Security Manager, ISACA
• Lead Auditor ISO27001- Lead Auditor ISO 27001, BSI
• CISSP - Certified Information Systems Security Professional, ISC2
• SECURITY+, COMPTia - Computing Technology Industry Association
• CEH - Certified Ethical Hacker
• PCI DSS - PCI Data Security Standard

Referencias

1. ↑ 44 U.S.C § 3542 (b)(1) (2006)
2. ↑ ISACA (2008). ISACA MANUAL DE PREPARACIÓN AL EXAMEN CISM 2008. Information Systems Audit and Control Association. p. 16. ISBN 978-1-60420-000-3. 
3. ↑ ISACA (2008). ISACA MANUAL DE PREPARACIÓN AL EXAMEN CISM 2008. Information Systems Audit and Control Association. p. 17. ISBN 978-1-60420-000-3. 

Véase también

• Auditoría
• Derecho de las TICs
• Información
• Información clasificada
• Ley Orgánica de Protección de Datos de Carácter Personal de España
• Privacidad
• Seguridad en Internet
• Seguridad informática
• Sistema de Gestión de la Seguridad de la Información

Enlaces externos

• Wikimedia Commons alberga una categoría multimedia sobre Seguridad de la información.
• CriptoRed Red Temática de Criptografía y Seguridad de la Información (más de 400 documentos, libros, software y vídeos freeware)
• Segu-info Portal de seguridad de la información
• http://www.opensecurityarchitecture.org] Arquitectura de seguridad de información