seguridad-de-la-informacion.jpg
Ciencia y Tecnología

Las cuatro claves de la seguridad de la información

Equipo de Expertos en Ciencia y Tecnología

Nunca antes en la historia la información ha tenido tanto poder como ahora, por lo que la seguridad se vuelve un elemento clave. Podemos definir la seguridad de la información como todo el conjunto de medidas preventivas y reactivas que tienen como objetivo resguardar distintos conjuntos de datos.

Normativa en España

La seguridad ha de basarse en cuatro aspectos que son claves y fundamentales, además de estar fundamentadas en una serie de normas que se aplican en España: las normas ISO. Son aquellas normas o estándares de seguridad que han sido dictaminados por la Organización Internacional para la Estandarización y por la Comisión Electrotécnica Internacional.

Para el caso de la seguridad de la información son las normas ISO 27000, y son las siguientes:

  • ISO 27001. Es la norma principal de toda la serie. Se recogen todos los requisitos del sistema de gestión de seguridad de la información.
  • ISO 27002. Guía de buenas prácticas que describe los objetivos de control.
  • ISO 27005. Contempla las directrices para la gestión del riesgo en la seguridad de la información.
  • ISO 27006. Esta norma especifica los requisitos que han de cumplir las entidades de auditoría y certificación de sistemas de gestión de seguridad.
  • ISO 27000. Generalidades y vocabulario.
  • ISO 27003. Guía de desarrollo.
  • ISO 27004. Métricas.

Los 4 pilares de la seguridad de la información

Las empresas han establecido áreas de ciberseguridad con profesionales cualificados para protegerse contra todo tipo de ataques a sus sistemas. Así, la política de ciberseguridad tiene que basarse en 4 pilares: confidencialidad, disponibilidad, autenticidad e integridad. Cada uno de estos pilares tiene unos objetivos y acciones concretas. El objetivo último es la protección de los datos y la información de una compañía.

Estos principios son la guía que tiene que acompañar a cualquier profesional que vele por los intereses de la empresa en la defensa de sus equipos y sistemas informáticos. Reiteramos la importancia de contar con una política de seguridad en la compañía, ya que los datos de la misma se pueden consultar en cualquier momento del día y desde cualquier dispositivo.

Los principios que vamos a desarrollar a continuación son un conjunto de protocolos y medidas destinados a reducir los riesgos ante cualquier problema informático que suceda. También, a detectar y a prevenir posibles amenazas y, lógicamente, a la recuperación del sistema en el caso de que se produzca algún fallo o incidencia. La aplicación de estos principios será la mayor salvaguarda con la que contarás para proteger a tu compañía ante cualquier eventual ciberataque.

Confidencialidad

La confidencialidad es el principio que garantiza que a la información solo pueden acceder las personas que dispongan de autorización, la cual se basa en la necesidad de conocer los datos necesarios para el desempeño de la actividad laboral. La autorización tiene que emitirse para los siguientes tipos de información:

  • Información almacenada tanto en soporte digital (repositorios o servidores) como físico (documentos en papel).
  • Información en tránsito. Es la que se transmite a través de Internet o en soportes digitales de datos (pendrives, por ejemplo) o la que se transporta físicamente de un lugar a otro.

Las principales medidas de seguridad se tienen que clasificar en los citados grupos.

La información almacenada puede ser de una amplia variedad. Entre esta podemos destacar la legal (datos personales, patentes, etc.) o de valor y sensible (estrategias de la empresa, por ejemplo). Tiene que ser confidencial y protegida contra accesos no autorizados. Se pueden establecer las siguientes medidas de seguridad:

  • Control de acceso físico. Los accesos a las instalaciones donde se almacena la información digital o física tienen que estar restringidos. Para ello, se pueden instalar puertas con lectores de tarjeta, huella o armarios con cerraduras.
  • Acceso lógico. La red y los sistemas que almacenan la información tienen que estar completamente protegidos para que las personas autorizadas puedan acceder a ellos. Para ello, se puede emplear mecanismos de login o esquemas de permisos.
  • Cifrado. Con este sistema, la información solo será accesible a las personas que dispongan de permisos o autorizaciones concretas y específicas.

En cuanto a la información en tránsito, el objetivo principal es que aquellos datos que viajan a través de la red pública sean protegidos de tal forma que, si son interceptados por los atacantes, no sean legibles. El sistema que mejor garantiza esta protección es el cifrado.

Los datos personales son los más sensibles y los que más deben estar protegidos ante terceros. Además, estos tienen diferentes niveles de sensibilidad según su tipología (ideología, orientación sexual, etc.). Las medidas para garantizar su protección son muy variadas. Para ello, hay que estar muy atento a la normativa sobre protección de datos en España. Podemos destacar las siguientes normas: el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).

Disponibilidad

La dependencia de la información y del área de TI hace que las empresas tengan que desarrollar estrategias que aseguren que la información siempre esté disponible cuando sea necesario.

La disponibilidad es la característica que asegura la fiabilidad y el acceso oportuno a los datos y recursos por parte de personas autorizadas para ello. No obstante, este acceso tendrá que estar relacionado con su actividad laboral.

Ahora bien, ¿cómo conseguir la disponibilidad de la información? Los datos se almacenan en los dispositivos de red (router, por ejemplo) o en los equipos de TI (servidores, cabinas de discos, etc.). Estos medios deben proveer la información adecuada y de una forma eficiente cuando sea requerida. Además, tienen que recuperarse de interrupciones de una forma fácil y rápida.

¿Qué medidas de seguridad puedes implementar en tu empresa?

  • Elaboración de imágenes de discos.
  • Copias de seguridad de la información.
  • Balanceo de carga entre máquinas y sistemas.
  • Coubicación de las instalaciones internas y externas.
  • Implementación de sistemas en clúster.
  • Desarrollo de sistemas RAID de discos.

Durante los últimos años se han producido ataques cibernéticos a numerosas empresas que han impedido que funcionen con normalidad durante un largo periodo de tiempo. Por ello, la contratación de perfiles expertos en ciberseguridad es imprescindible.

Autenticación

La autenticación es otra de las medidas de seguridad que ya están implantando las empresas en sus políticas. Además, los gobiernos de todo el mundo también se han implicado en este pilar para proteger los sistemas de información públicos.

Se puede definir como el proceso de validar la identidad de un servidor o de un usuario en concreto antes de facilitarle el permiso correspondiente para acceder a los datos. Los clientes, normalmente, usan como un método de autenticación el clásico nombre de usuario y contraseña o tokens. En cambio, los servidores usan certificados para validar a terceros que sean confiables.

No obstante, creemos que los tokens y certificados no son tan conocidos. Por ello, te animamos a que continúes leyendo para saber más.

Un token es un método de autenticación que se basa en solicitudes que se alcanzan mediante la presentación de una determinada información firmada. Se parece al funcionamiento de una tarjeta de embarque cuando se sube a un avión.

Los certificados digitales son documentos electrónicos que tienen como objetivo demostrar la propiedad de una clave privada. Además, este tipo de certificado también incluye la firma electrónica, que da fe de la autenticidad del contenido. En España, los certificados digitales se usan para relacionarse con la administración pública (pago de multas, solicitud de subvenciones, etc.). Con respecto a la seguridad de la información, es de máximo interés el estudio que se publicó en abril de 2020 sobre ciberseguridad y confianza del ciudadano en la red.

Integridad

La integridad hace referencia al último de los pilares de la política de seguridad de la información de una compañía. La podemos definir como la máxima garantía de exactitud y fiabilidad de los datos que estén almacenados en los sistemas de la empresa.

Para conseguir la integridad de la información, se tienen que limitar los permisos de los usuarios sobre los datos que se necesite proteger. Además, los sistemas que soportan esta información tienen que ser los mínimos. Se recomienda que los archivos que sean críticos estén totalmente ocultos y su acceso sea muy limitado.

Para garantizar la integridad de la información se tiene un amplio repertorio de medidas a aplicar por parte de los profesionales correspondientes:

  • Desarrollo de algoritmos para que los datos no puedan ser modificados.
  • Gestión de la configuración de los sistemas para afianzar que no han sido cambiados sin la autorización correspondiente.
  • Desarrollo y gestión de los cambios necesarios para asegurar la integridad de todos los procesos que se desarrollan en la compañía.
  • Firma digital de toda la documentación. Para ello, existen numerosas compañías que tienen entre sus servicios la implementación de métodos de firma digital.
  • Desarrollo de todo tipo de controles (físicos y digitales) para acceder a cualquier recurso de la compañía.

La integridad de los datos garantiza la exactitud de los transportados o almacenados. Para ello, hay que asegurarse de que no han sido manipulados, perdidos o destruidos, ni accidental ni intencionadamente.

En conclusión, una correcta política de seguridad de la información ha de basarse en los cuatro pilares que hemos explicado. En VIU contamos con un Máster Universitario en Ciberseguridad. Llámanos para pedir más información.
 

 

Solicitar información

Universitat Internacional Valenciana - Valencian International University S.L., tratará sus datos personales conforme a su solicitud para contactarle e informarle del programa seleccionado de cara a las dos próximas convocatorias del mismo, pudiendo contactar con usted a través de medios electrónicos (WhatsApp y/o correo electrónico) y por medios telefónicos, siendo eliminados una vez facilitada dicha información y/o transcurridas las citadas convocatorias.

Ud. podrá ejercer los derechos de acceso, supresión, rectificación, oposición, limitación y portabilidad, mediante carta a Universitat Internacional Valenciana - Valencian International University S.L. - Apartado de Correos 221 de Barcelona, o remitiendo un email a [email protected]. Asimismo, cuando lo considere oportuno podrá presentar una reclamación ante la Agencia Española de protección de datos.

Podrá ponerse en contacto con nuestro Delegado de Protección de Datos mediante escrito dirigido a [email protected] o a Grupo Planeta, At.: Delegado de Protección de Datos, Avda. Diagonal 662-664, 08034 Barcelona.