Principios de la seguridad informática

hombre bien vestido levantado pulgar
índice

Si bien los entendidos coinciden en que no existe ningún sistema 100% seguro e infalible, por el bien de tu negocio, se debe proteger la información tanto como sea posible. Para ello, hay que aplicar los 3 principios de la seguridad informática: integridad, confidencialidad y disponibilidad. ¿Te animas a conocerlos?

Lee este post y descubre la tríada de la seguridad informática para empresas.

¿Qué es la seguridad de datos?

Ya hemos explicado en otro post qué es la seguridad informática, no obstante, vamos a repasar su definición antes de ahondar en sus pilares.

La seguridad de datos consiste en defender la información digital de los accesos no autorizados, su corrupción o hurto. Ésta conlleva la implementación de herramientas de seguridad informática, las cuales llevan a:

  • Aumentar la visibilidad de la empresa sobre dónde residen sus datos críticos y cómo se emplean.
  • Reconocer la relevancia de los conjuntos de datos (hay que saber cuáles son y cuál es su sensibilidad para poder protegerlos).
  • Llevar a cabo las 10 medidas de seguridad informática.

Estas últimas están descritas en el artículo anterior de nuestro blog.

Objetivos de la seguridad informática 

Entre las principales metas de ciberseguridad, destacamos las siguientes:

  • Reducir y gestionar los riesgos.
  • Detectar problemas y amenazas a la seguridad informática.
  • Garantizar un apropiado empleo de los recursos y de las aplicaciones del sistema.
  • Minimizar pérdidas de datos y recuperarlos.

Por supuesto, también incluiríamos el respeto del marco legal y de los requisitos impuestos por los clientes.

mujer cumpliendo principios de la seguridad informática

Complejidad de la seguridad de la información

La gestión de la seguridad informática acarrea una variedad de técnicas, de procesos y de prácticas que han de combinarse para mantener los datos a salvo, inaccesibles para terceros no autorizados. El foco acostumbra a ponerse en la protección de información confidencial, como datos personales o propiedad intelectual crítica para la empresa.

Sin embargo, existen datos más complicados de defender que otros. La razón es que, en la actualidad, la información procede de muchísimas fuentes: smartphones, emails, aplicaciones en la nube, servidores…

Esta mayor diversidad equivale a una mayor dificultad de garantizar la protección. Esta mayor heterogeneidad hace que los planes de seguridad deban ser más completos. Y, por último, esta mayor cantidad de usuarios obliga a tener más cuidado con el sistema de autorizaciones.

Consecuencias de la falta de seguridad informática 

Sin mantenimiento informático, tu empresa puede sufrir fugas de datos sensibles, pérdidas financieras, interrupciones de servicios, menoscabo en su imagen, disminuciones de pedidos, pérdidas de oportunidades de negocio, indemnizaciones por daños y perjuicios a terceros, etc.

Los 3 principios de la seguridad informática

Como adelantamos, los 3 principios de la seguridad informática no son otros que la integridad, la confidencialidad y la disponibilidad de la información:

Confidencialidad de la información

También llamada privacidad, significa que la información sólo ha de esta a mano de aquellos que:

  • Necesitan conocerla.
  • Han sido autorizados para ello.

Este principio garantiza que los datos no van a ser propagados de manera fortuita o deliberada. Y es que todos tenemos el derecho de proteger nuestra información personal.

La confidencialidad implica que la información no se divulgue por la red sin tu consentimiento.

La vulneración también afecta diferente según sean equipos o red:

  • Equipo de trabajo: cuando un atacante logra acceder a un equipo sin permiso, controlando sus recursos.
  • Red de comunicaciones: cuando un ataque tiene acceso a los mensajes que circulan por ella sin autorización.

La criptografía se trata de una práctica que “disfraza” la información mediante algoritmos, volviéndola ilegible.

infografía de los principios de la seguridad informática confidenciales

Integridad de la información

Se refiere a que la información (almacenada o enviada) no ha sido manipulada por terceros con mala intención. Ello asegura que la información sea modificada por usuarios no autorizados.

La integridad se resume en que los datos se mantengan correctos, sin alterar por terceros.

La vulneración de la integridad tiene diferente significados según sea en un equipo o en una red:

  • Equipo de trabajo: cuando un usuario no legítimo cambia la información.
  • Red de comunicación: cuando un atacante actúa como intermediario en una comunicación.

Disponibilidad de la información

Quiere decir que los datos deben estar siempre disponibles para los individuos autorizados. Esto se traduce en su permanente acceso y posibilidad de recuperación en caso de incidente. Por ejemplo, el backup online es muy útil para suplir estos principios de la seguridad informática.

Autenticidad y no repudio: ¿otros principios de la seguridad de información?

Hay quienes incluyen la autenticidad dentro de los principios de la seguridad informática. Ésta garantiza la veracidad de autoría de los datos. Sin embargo, no asegura la veracidad del contenido de la información.

Permite revisar la identidad de los participantes en una comunicación y asegurar que son quienes dicen ser.

Por otra parte, muchos reclaman el concepto de no repudio, que se basa en comprobar la participación de ambas partes de una comunicación. Puede ser de origen (protege al destinatario del envío) o de destino (defiende al emisor de éste).

El no repudio formaría parte de la autenticidad. Representa que el autor de los datos no tiene forma de negar que lo es.

Seguridad de datos en la empresa: quiénes son responsables

En la gerencia de la empresa es donde se ubican los responsables últimos de proteger la información. Y es que su visión determina la manera de enfocar los principios de la seguridad informática. No en el día a día, la responsabilidad recaer en:

  • El CSO que diseñe la estrategia a seguir en materia de ciberseguridad.
  • La gerencia a nivel departamental.
  • Los empleados, responsables de seguir las prácticas recomendadas y extremar las precauciones en asuntos como la gestión de contraseñas.

¿Cómo incrementar la seguridad informática? ¿Cómo protegerse?

Los principios de seguridad informática pueden cumplirse si se llevan a cabo diversas prácticas. Aunque éstas son de lo más variopinto, se pueden clasificar en estas 4:

  • Política de mínimos privilegios. No todos los individuos de una empresa deberían acceder a toda la información de ésta. Gestionar los privilegios quiere decir implantar jerarquías sobre quién puede acceder a cada nivel de datos, de menor a mayor confidencialidad. De este modo, se previenen fugas de información y se reduce el riesgo de que alguien abuse de su posición para un empleo incorrecto de sus privilegios. 
  • Política de control de acceso cerrado por defecto. Todos los accesos a los datos y los sistemas que la tratan o almacenan tendrían que estar cerrados para todos los usuarios, siendo permitidos en exclusiva para aquellos que estén autorizados para éstos.
  • Segregación de funciones. Dividir las funciones y las responsabilidades de cada miembro dentro del organigrama de la compañía evita conflictos de intereses y disminuye los riesgos de seguridad que se derivan de cuando un usuario acumula demasiados privilegios de acceso a datos en la empresa. 
  • Defensa en profundidad. Es conveniente diseñar y aplicar distintos niveles de seguridad en la compañía, dado el gran número de ataques y de peligros procedentes de la dependencia de las TIC, que llegan a una superficie muy extensa. 

Para acabar, aunque no resulte menos importante, se recomienda invertir en formación en seguridad informática para todos los trabajadores. Casi todos los ciberataques terminan en éxito porque toman ventaja de un error humano (no deliberado). Hay que transmitirle a la plantilla la necesidad de realizar prácticas ciberseguras a diario. Para, así, proteger la confidencialidad de la información y, por tanto, también la continuidad de la compañía. Algo beneficioso para todos.

Conclusión

Ahora ya conoces cuáles son los 3 principios de la seguridad informática en empresas. Hemos explicado en qué consiste la disponibilidad, la confidencialidad y la integridad de los datos, para que puedas determinar qué estrategias en ciberseguridad se pueden llevar a cabo. Asimismo, hemos visto qué otras características son interesantes desde el punto de vista de la seguridad de la información. Es decir, se ha repasado qué es la autenticidad y el no repudio de los contenidos. Además, hemos apuntado cuáles son las consecuencias negativas de no cumplir con estos pilares de la ciberseguridad.

Descubre cómo elegir una empresa de servicios informáticos y suple estos principios.

Suscríbete al newsletter

Asóciate con aquellos que te harán mejorar. El proceso es mutuo, pues la gente aprende mientras enseña -SÉNECA-

Deja una respuesta