Introducción
Las organizaciones deben comprender la importancia de entender correctamente el concepto de seguridad de la información y la administración de los riesgos a lo que se encuentran expuestos para estar preparados en caso de que llegase a ocurrir algún percance.
Por lo anterior, antes de desarrollar una estrategia de seguridad de la información en su organización, es necesario adoptar y entender una definición básica del concepto de seguridad de la información.
Objetivo
Conocer y entender el concepto de seguridad de la información en su organización con base en la gestión de riesgos, le permitirá comenzar a recorrer el camino para entender la diferencia entre dónde está parado hoy y cuánto falta para acortar la brecha. Es ahí en donde una estrategia para mejorar el nivel de madurez de su empresa le permitirá realizar acciones que tengan un alcance en toda la organización.
Conceptos de seguridad de la información.
La seguridad de la información puede definirse como un conjunto de estrategias para gestionar los procesos, herramientas y políticas necesarias para prevenir, detectar, documentar y contrarrestar las amenazas a la información digital y no digital.
Incluye el establecimiento de un conjunto de procesos de negocio que protejan los activos de información que según la ISO 27001:2013 los define como: “algo que una organización valora y por lo tanto debe proteger” independientemente del formato en el que se encuentra la información o si está en tránsito, se está procesando o está reposando como respaldo en algún medio de almacenamiento.
Muchas empresas emplean un grupo de seguridad dedicado para implementar y mantener el programa de seguridad de la información de la organización. Normalmente, este grupo está dirigido por un director de seguridad de la información. El grupo de seguridad es generalmente responsable de realizar la gestión de riesgos, un proceso mediante el cual se evalúan continuamente las vulnerabilidades y amenazas a los activos de información, y se deciden y aplican los controles de protección apropiados. El valor de una organización reside en su información, por lo tanto su seguridad es fundamental para su desarrollo comercial, así como para conservar la credibilidad y lo más importante ganar la confianza de los clientes.
Principios de seguridad de la información
Los programas Seguridad de la Información o Sistemas de Gestión se basan en los objetivos centrales de la tríada Confidencialidad, Integridad y Disponibilidad de los sistemas de TI y los datos que genera y se procesan en las organizaciones. Estos objetivos aseguran que la información sensible sólo se divulgue a las partes autorizadas (confidencialidad), evitan la modificación no autorizada de los datos (integridad) y garantizan que las partes autorizadas puedan acceder a los datos cuando se soliciten (disponibilidad).
La primera consideración de la seguridad, la confidencialidad, generalmente requiere el uso de cifrado y claves de cifrado. La segunda consideración, integridad, implica que cuando se leen los datos, serán exactamente los mismos que cuando se escribieron. (En algunos casos, puede ser necesario enviar los mismos datos a dos ubicaciones diferentes para protegerse contra la corrupción de datos en un solo lugar). La tercera parte es la disponibilidad. Esta parte de la tríada busca garantizar que los nuevos datos se puedan usar de manera oportuna y que los datos de respaldo se puedan restaurar en un tiempo de recuperación aceptable.
Amenazas y respuestas a amenazas
Las amenazas a la información reservada y clasificada se presentan de muchas formas diferentes, como malware y ataques de phishing , robo de identidad y ransomware (En una próxima publicación describiremos estos conceptos) . Para disuadir a los atacantes y mitigar las vulnerabilidades en varios puntos, se implementan y coordinan múltiples controles de seguridad como parte de una estrategia de defensa en capas de profundidad . Esto tiende a minimizar el impacto de un ataque.
Para estar preparado para una brecha de seguridad, los grupos de seguridad deben tener un plan de respuesta a incidentes con el fin de contener y limitar el daño, eliminar la causa y aplicar controles de defensa.
Los procesos y las políticas de seguridad de la información generalmente implican medidas de seguridad físicas y digitales para proteger los datos del acceso, uso, replicación o destrucción no autorizados. Estas medidas pueden incluir administración de dispositivos de seguridad perimetral, claves de cifrado, sistemas de detección de intrusiones en la red, políticas de contraseñas y cumplimiento normativo .
Es muy importante periódicamente realizar diagnósticos o auditorías de seguridad para evaluar la capacidad de la organización para mantener los niveles de seguridad adecuados frente a un conjunto de criterios establecidos.
Seguridad de la información frente a seguridad de la red
En la infraestructura empresarial moderna, es muy probable que los datos estén en movimiento como en reposo. Aquí es donde entra en juego la seguridad de la red. Aunque técnicamente es un subconjunto de la ciberseguridad (otro concepto que estaremos definiendo en una nueva publicación), la seguridad de la red se ocupa principalmente de la infraestructura de red de la empresa. Se ocupa de cuestiones como la protección del perímetro de la red; los mecanismos de transporte de datos, como switches y routers; y aquellos dispositivos que brindan protección a los datos mientras se mueven por la red.
La ciberseguridad y la seguridad de la red difieren principalmente en la aplicación de la planificación de seguridad. Un plan de ciberseguridad sin un plan de seguridad de la red está incompleto; sin embargo, un plan de seguridad de red normalmente puede ser independiente.
Conclusiones
Entender el concepto de seguridad de la información y la necesidad de crear una iniciativa enfocada a la seguridad de sus activos de información y la gestión de riesgos le puede evitar incurrir en costos en caso de presentarse un incidente de seguridad, asi como también, mantener la confianza con sus clientes y el buen nombre de su organización, si requiere mas información al respecto no dude en contactar a BSolution Group.