stringtranslate.com

Aseguramiento de la información

La garantía de la información ( IA ) es la práctica de asegurar la información y gestionar los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información. La garantía de la información incluye la protección de la integridad , disponibilidad, autenticidad, no repudio y confidencialidad de los datos del usuario. [1] La IA abarca tanto las protecciones digitales como las técnicas físicas. Estos métodos se aplican a los datos en tránsito , tanto en forma física como electrónica, así como a los datos en reposo . La IA se considera mejor como un superconjunto de la seguridad de la información (es decir, un término general) y como el resultado comercial de la gestión de riesgos de la información .

Descripción general

El cubo McCumber : uno de los esquemas de seguridad de la información más comunes

La garantía de la información (IA) es el proceso de procesar, almacenar y transmitir la información correcta a las personas adecuadas en el momento adecuado. [1] La IA se relaciona con el nivel empresarial y la gestión de riesgos estratégicos de la información y los sistemas relacionados, en lugar de la creación y aplicación de controles de seguridad. La IA se utiliza para beneficiar a las empresas mediante el uso de la gestión de riesgos de la información , la gestión de la confianza , la resiliencia, la arquitectura apropiada, la seguridad del sistema y la protección, lo que aumenta la utilidad de la información solo para sus usuarios autorizados.

Además de defenderse de los piratas informáticos y los códigos maliciosos (por ejemplo, los virus ), los profesionales de la IA consideran cuestiones de gobernanza corporativa como la privacidad , el cumplimiento de las normas y las reglamentaciones , la auditoría , la continuidad empresarial y la recuperación ante desastres en lo que respecta a los sistemas de información. Además, la IA es un campo interdisciplinario que requiere experiencia en negocios , contabilidad , experiencia del usuario, análisis de fraudes , ciencia forense , ciencia de la gestión , ingeniería de sistemas , ingeniería de seguridad y criminología , además de informática.

Evolución

Con el crecimiento de las redes de telecomunicaciones también surge la dependencia de las redes, lo que hace que las comunidades sean cada vez más vulnerables a los ataques cibernéticos que podrían interrumpir, degradar o destruir servicios vitales. [2] A partir de la década de 1950, el papel y el uso de la seguridad de la información han crecido y evolucionado. Estas prácticas de bucle de retroalimentación se emplearon durante el desarrollo de los sistemas de apoyo a la toma de decisiones militares WWMCCS .

Diagrama de bucle de retroalimentación OODA

En un principio, la seguridad de la información implicaba únicamente la realización de copias de seguridad de los datos. [3] Sin embargo, una vez que aumentó el volumen de información, el acto de seguridad de la información comenzó a automatizarse, lo que redujo el uso de la intervención del operador y permitió la creación de copias de seguridad instantáneas. [3] El último gran desarrollo de la seguridad de la información es la implementación de sistemas distribuidos para el procesamiento y almacenamiento de datos a través de técnicas como SAN y NAS , además del uso de la computación en la nube . [4] [5] [3]

Estos tres avances principales en materia de seguridad de la información son paralelos a las tres generaciones de tecnologías de la información: la primera se utilizó para prevenir intrusiones, la segunda para detectarlas y la tercera para garantizar la supervivencia. [6] [7] La ​​seguridad de la información es un esfuerzo colaborativo de todos los sectores de la vida para permitir un intercambio libre e igualitario de ideas. [ cita requerida ]

Pilares

El aseguramiento de la información se construye sobre cinco pilares: disponibilidad , integridad , autenticación , confidencialidad y no repudio . [8] Estos pilares se toman en cuenta para proteger los sistemas y al mismo tiempo permitirles proporcionar servicios de manera eficiente; sin embargo, estos pilares no actúan independientemente unos de otros, sino que interfieren con el objetivo de los otros pilares. [8] Estos pilares del aseguramiento de la información han cambiado lentamente para convertirse en los pilares de la ciberseguridad. Como administrador, es importante enfatizar los pilares que desea para lograr el resultado deseado para su sistema de información, equilibrando los aspectos del servicio y la privacidad .

Autenticación

La autenticación se refiere a la verificación de la validez de una transmisión, un originador o un proceso dentro de un sistema de información. [9] La autenticación proporciona al receptor confianza en la validez de los datos del remitente, así como en la validez de su mensaje. [8] Existen muchas formas de reforzar la autenticación, que se dividen principalmente en tres formas principales: información de identificación personal , como el nombre de una persona, la dirección, el número de teléfono, el acceso a un token clave o información conocida, como las contraseñas. [10]

Integridad

La integridad se refiere a la protección de la información contra alteraciones no autorizadas. [3] El objetivo de la integridad de la información es garantizar que los datos sean precisos durante toda su vida útil. [11] [12] La autenticación del usuario es un factor fundamental para la integridad de la información. [8] La integridad de la información es una función de la cantidad de grados de confianza que existen entre los extremos de un intercambio de información. [12] Una forma de mitigar el riesgo de integridad de la información es mediante el uso de diseños de software y chips redundantes. [13] Una falla en la autenticación podría representar un riesgo para la integridad de la información, ya que permitiría que una parte no autorizada altere el contenido. Por ejemplo, si un hospital tiene políticas de contraseñas inadecuadas, un usuario no autorizado podría obtener acceso a un sistema de información que rige la entrega de medicamentos a los pacientes y correr el riesgo de alterar el curso del tratamiento en detrimento de un paciente en particular. [12]

Disponibilidad

El pilar de disponibilidad se refiere a la preservación de los datos que se van a recuperar o modificar de personas autorizadas. Una mayor disponibilidad se preserva mediante un aumento en la confiabilidad del sistema o canal de almacenamiento. [8] Las brechas en la disponibilidad de la información pueden resultar de cortes de energía, fallas de hardware, DDOS , etc. El objetivo de la alta disponibilidad es preservar el acceso a la información. La disponibilidad de la información se puede reforzar mediante el uso de energía de respaldo , canales de datos de repuesto , capacidades fuera del sitio y señal continua . [12]

Confidencialidad

La confidencialidad es, en esencia, lo opuesto a la integridad. La confidencialidad es una medida de seguridad que protege contra quién puede acceder a los datos, lo que se hace protegiendo a quién tiene acceso a la información. [8] Esto es diferente de la integridad, ya que la integridad es proteger a quién puede cambiar la información. La confidencialidad a menudo se garantiza con el uso de criptografía y esteganografía de datos. [3] La confidencialidad se puede ver dentro de la clasificación y la superioridad de la información con operaciones internacionales como la OTAN. [14] La confidencialidad de la garantía de la información en los Estados Unidos debe seguir la HIPAA y la política de seguridad de los proveedores de atención médica, el etiquetado de la información y las regulaciones de necesidad de conocer para garantizar la no divulgación de la información. [12]

No repudio

El no repudio es la integridad de los datos para que sean fieles a su origen, lo que evita la posible negación de que se produjo una acción. [3] [1] Aumentar el no repudio hace que sea más difícil negar que la información proviene de una determinada fuente. En otras palabras, hace que no se pueda cuestionar la fuente/autenticidad de los datos. El no repudio implica la reducción de la integridad de los datos mientras estos se encuentran en tránsito, generalmente mediante el uso de un ataque de intermediario o phishing . [15]

Interacciones de pilares

Como se dijo anteriormente, los pilares no interactúan independientemente unos de otros, ya que algunos de ellos impiden el funcionamiento de otros pilares o, en el caso opuesto, refuerzan a otros pilares. [8] Por ejemplo, el aumento de la disponibilidad de información actúa directamente en contra de los objetivos de otros tres pilares: integridad, autenticación y confidencialidad. [8]

Proceso

El proceso de aseguramiento de la información comienza normalmente con la enumeración y clasificación de los activos de información que se van a proteger. A continuación, el profesional de la seguridad de la información realizará una evaluación de riesgos de dichos activos. [16] Se determinan las vulnerabilidades de los activos de información para enumerar las amenazas capaces de explotarlos. A continuación, la evaluación considera tanto la probabilidad como el impacto de que una amenaza explote una vulnerabilidad de un activo, y el impacto suele medirse en términos de coste para las partes interesadas del activo. [17] La ​​suma de los productos del impacto de las amenazas y la probabilidad de que se produzcan es el riesgo total para el activo de información.

Una vez completada la evaluación de riesgos, el profesional de la evaluación interna desarrolla un plan de gestión de riesgos . Este plan propone contramedidas que implican mitigar, eliminar, aceptar o transferir los riesgos, y considera la prevención, detección y respuesta a las amenazas.

Un marco publicado por una organización de estándares, como NIST RMF, Risk IT , CobiT , PCI DSS o ISO/IEC 27002 , puede guiar el desarrollo. Las contramedidas pueden incluir herramientas técnicas como firewalls y software antivirus , políticas y procedimientos que requieran controles como copias de seguridad periódicas y fortalecimiento de la configuración, capacitación de empleados en concienciación sobre seguridad u organización del personal en equipos de respuesta a emergencias informáticas (CERT) o equipos de respuesta a incidentes de seguridad informática ( CSIRT ). El costo y el beneficio de cada contramedida se consideran cuidadosamente. Por lo tanto, el profesional de la IA no busca eliminar todos los riesgos; sino gestionarlos de la manera más rentable . [18]

Una vez implementado el plan de gestión de riesgos, se lo prueba y evalúa, a menudo mediante auditorías formales. [16] El proceso de evaluación de riesgos es iterativo, en el sentido de que la evaluación de riesgos y el plan de gestión de riesgos deben revisarse y mejorarse periódicamente en función de los datos recopilados sobre su integridad y eficacia. [2]

Existen dos metatécnicas en el aseguramiento de la información: auditoría y evaluación de riesgos. [16]

Gestión de riesgos empresariales

La gestión de riesgos empresariales se divide en tres procesos principales: evaluación de riesgos, mitigación de riesgos y evaluación y valoración. [ cita requerida ] La garantía de la información es una de las metodologías que utilizan las organizaciones para implementar la gestión de riesgos empresariales. Mediante el uso de políticas de garantía de la información como el marco "BRICK". [1] Además, la gestión de riesgos empresariales también se lleva a cabo para cumplir con las leyes federales e internacionales con respecto a la divulgación y seguridad de la información, como HIPAA . [19]

La garantía de la información se puede alinear con las estrategias corporativas a través de la capacitación y la concientización, la participación y el apoyo de la alta gerencia y la comunicación intraorganizacional, lo que permite un mayor control interno y una mejor gestión del riesgo empresarial. [20]

Muchos ejecutivos de seguridad en las empresas están pasando a confiar en la seguridad de la información para proteger la propiedad intelectual, protegerse contra posibles fugas de datos y proteger a los usuarios contra sí mismos. [17] Si bien el uso de la seguridad de la información es bueno para garantizar ciertos pilares como la confidencialidad, el no repudio, etc., debido a su naturaleza conflictiva, un aumento en la seguridad a menudo se produce a expensas de la velocidad. [8] [17] El uso de la seguridad de la información en el modelo de negocios mejora la toma de decisiones de gestión confiable, la confianza del cliente, la continuidad del negocio y la buena gobernanza tanto en los sectores público como privado. [21]

Organizaciones de normalización y normas

Existen varios organismos nacionales e internacionales que emiten normas sobre prácticas, políticas y procedimientos de garantía de la información. En el Reino Unido, estos incluyen el Consejo Asesor de Garantía de la Información y el Grupo de Colaboración de Garantía de la Información . [4]

Véase también

Referencias

Notas
  1. ^ abcd Sosin, Artur (1 de abril de 2018). "CÓMO AUMENTAR LA SEGURIDAD DE LA INFORMACIÓN EN LA ERA DE LA INFORMACIÓN". Revista de Gestión de Recursos de Defensa . 9 (1): 45–57. ISSN  2068-9403.
  2. ^ ab McConnell, M. (abril de 2002). "Aseguramiento de la información en el siglo XXI". Computer . 35 (4): supl16–supl19. doi :10.1109/MC.2002.1012425. ISSN  0018-9162.
  3. ^ abcdef Cummings, R. (diciembre de 2002). "La evolución de la seguridad de la información". Computer . 35 (12): 65–72. doi :10.1109/MC.2002.1106181. ISSN  0018-9162.
  4. ^ ab Pringle, Nick; Burgess, Mikhaila (mayo de 2014). "Aseguramiento de la información en un clúster forense distribuido". Investigación digital . 11 : S36–S44. doi : 10.1016/j.diin.2014.03.005 .
  5. ^ Chakraborty, Rajarshi; Ramireddy, Srilakshmi; Raghu, TS; Rao, H. Raghav (julio de 2010). "Las prácticas de garantía de la información de los proveedores de informática en la nube". Profesional de TI . 12 (4): 29–37. doi :10.1109/mitp.2010.44. ISSN  1520-9202. S2CID  8059538.
  6. ^ Luenam, P.; Peng Liu (2003). "El diseño de un sistema de base de datos tolerante a intrusiones adaptativo". Fundamentos de sistemas tolerantes a intrusiones, 2003 [Sistemas de información seguros y con capacidad de supervivencia orgánica]. IEEE. págs. 14–21. doi :10.1109/fits.2003.1264925. ISBN . 0-7695-2057-X.S2CID14058057  .​
  7. ^ Liu, Peng; Zang, Wanyu (2003). "Modelado basado en incentivos e inferencia de intenciones, objetivos y estrategias de los atacantes". Actas de la 10.ª conferencia de la ACM sobre seguridad informática y de las comunicaciones . Nueva York, Nueva York, EE. UU.: ACM Press. pág. 179. doi :10.1145/948109.948135. ISBN 1-58113-738-9. Número de identificación del sujeto  3897784.
  8. ^ abcdefghi Wilson, Kelce S. (julio de 2013). "Conflictos entre los pilares de la seguridad de la información". IT Professional . 15 (4): 44–49. doi :10.1109/mitp.2012.24. ISSN  1520-9202. S2CID  27170966.
  9. ^ Sadiku, Matthew; Alam, Shumon; Musa, Sarhan (2017). "Beneficios y desafíos de la seguridad de la información: una introducción". procon.bg . Consultado el 28 de noviembre de 2020 .
  10. ^ San Nicolas-Rocca, Tonia; Burkhard, Richard J (17 de junio de 2019). "Seguridad de la información en bibliotecas". Tecnologías de la información y bibliotecas . 38 (2): 58–71. doi : 10.6017/ital.v38i2.10973 . ISSN  2163-5226.
  11. ^ Boritz, J. Efrim (diciembre de 2005). "Opiniones de los profesionales de SI sobre los conceptos básicos de la integridad de la información". Revista Internacional de Sistemas de Información Contable . 6 (4): 260–279. doi :10.1016/j.accinf.2005.07.001.
  12. ^ abcde Schou, CD; Frost, J.; Maconachy, WV (enero de 2004). "Aseguramiento de la información en sistemas informáticos biomédicos". Revista IEEE de Ingeniería en Medicina y Biología . 23 (1): 110–118. doi :10.1109/MEMB.2004.1297181. ISSN  0739-5175. PMID  15154266. S2CID  7746947.
  13. ^ Yan, Aibin; Hu, Yuanjie; Cui, Jie; Chen, Zhili; Huang, Zhengfeng; Ni, Tianming; Girard, Patrick; Wen, Xiaoqing (1 de junio de 2020). "Aseguramiento de la información mediante diseño redundante: un nuevo pestillo TNU resistente a errores para entornos de radiación hostiles". IEEE Transactions on Computers . 69 (6): 789–799. doi :10.1109/tc.2020.2966200. ISSN  0018-9340. S2CID  214408357.
  14. ^ Hanna, Michael; Granzow, David; Bolte, Bjorn; Alvarado, Andrew (2017). "Intercambio de información e inteligencia de la OTAN: mejora de la estrategia de la OTAN para las operaciones de estabilización y reconstrucción". Connections: The Quarterly Journal . 16 (4): 5–34. doi : 10.11610/connections.16.4.01 . ISSN  1812-1098.
  15. ^ Chen, Chin-Ling; Chiang, Mao-Lun; Hsieh, Hui-Ching; Liu, Ching-Cheng; Deng, Yong-Yuan (8 de mayo de 2020). "Una autenticación mutua ligera con un dispositivo portátil en la informática móvil de borde basada en la ubicación". Comunicaciones personales inalámbricas . 113 (1): 575–598. doi :10.1007/s11277-020-07240-2. ISSN  0929-6212. S2CID  218934756.
  16. ^ abc Such, Jose M.; Gouglidis, Antonios; Knowles, William; Misra, Gaurav; Rashid, Awais (julio de 2016). "Técnicas de aseguramiento de la información: percepción de la relación coste-eficacia". Computers & Security . 60 : 117–133. doi :10.1016/j.cose.2016.03.009.
  17. ^ abc Johnson, ME; Goetz, E.; Pfleeger, SL (mayo de 2009). "Seguridad a través de la gestión de riesgos de la información". IEEE Security Privacy . 7 (3): 45–52. doi :10.1109/MSP.2009.77. ISSN  1558-4046. S2CID  30062820.
  18. ^ Singh, R.; Salam, AF (mayo de 2006). "Seguridad de la información semántica para la gestión segura del conocimiento distribuido: una perspectiva de proceso empresarial". IEEE Transactions on Systems, Man, and Cybernetics - Part A: Systems and Humans . 36 (3): 472–486. doi :10.1109/TSMCA.2006.871792. ISSN  1083-4427. S2CID  10191333.
  19. ^ Park, Insu; Sharman, Raj; Rao, H. Raghav (2 de febrero de 2015). "Experiencia en desastres y sistemas de información hospitalaria: un examen de la percepción de seguridad de la información, riesgo, resiliencia y utilidad de los sistemas de información hospitalaria". MIS Quarterly . 39 (2): 317–344. doi :10.25300/misq/2015/39.2.03. ISSN  0276-7783.
  20. ^ McFadzean, Elspeth; Ezingeard, Jean-Noël; Birchall, David (8 de abril de 2011). "Aseguramiento de la información y estrategia corporativa: un estudio Delphi de opciones, desafíos y desarrollos para el futuro". Gestión de sistemas de información . 28 (2): 102–129. doi :10.1080/10580530.2011.562127. ISSN  1058-0530. S2CID  11624922.
  21. ^ Ezingeard, Jean-Noël; McFadzean, Elspeth; Birchall, David (marzo de 2005). "Un modelo de beneficios de la seguridad de la información". Gestión de sistemas de información . 22 (2): 20–29. doi :10.1201/1078/45099.22.2.20050301/87274.3. ISSN  1058-0530. S2CID  31840083.
Bibliografía

Enlaces externos

Documentación