La garantía de la información ( IA ) es la práctica de asegurar la información y gestionar los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información. La garantía de la información incluye la protección de la integridad , disponibilidad, autenticidad, no repudio y confidencialidad de los datos del usuario. [1] La IA abarca tanto las protecciones digitales como las técnicas físicas. Estos métodos se aplican a los datos en tránsito , tanto en forma física como electrónica, así como a los datos en reposo . La IA se considera mejor como un superconjunto de la seguridad de la información (es decir, un término general) y como el resultado comercial de la gestión de riesgos de la información .
La garantía de la información (IA) es el proceso de procesar, almacenar y transmitir la información correcta a las personas adecuadas en el momento adecuado. [1] La IA se relaciona con el nivel empresarial y la gestión de riesgos estratégicos de la información y los sistemas relacionados, en lugar de la creación y aplicación de controles de seguridad. La IA se utiliza para beneficiar a las empresas mediante el uso de la gestión de riesgos de la información , la gestión de la confianza , la resiliencia, la arquitectura apropiada, la seguridad del sistema y la protección, lo que aumenta la utilidad de la información solo para sus usuarios autorizados.
Además de defenderse de los piratas informáticos y los códigos maliciosos (por ejemplo, los virus ), los profesionales de la IA consideran cuestiones de gobernanza corporativa como la privacidad , el cumplimiento de las normas y las reglamentaciones , la auditoría , la continuidad empresarial y la recuperación ante desastres en lo que respecta a los sistemas de información. Además, la IA es un campo interdisciplinario que requiere experiencia en negocios , contabilidad , experiencia del usuario, análisis de fraudes , ciencia forense , ciencia de la gestión , ingeniería de sistemas , ingeniería de seguridad y criminología , además de informática.
Con el crecimiento de las redes de telecomunicaciones también surge la dependencia de las redes, lo que hace que las comunidades sean cada vez más vulnerables a los ataques cibernéticos que podrían interrumpir, degradar o destruir servicios vitales. [2] A partir de la década de 1950, el papel y el uso de la seguridad de la información han crecido y evolucionado. Estas prácticas de bucle de retroalimentación se emplearon durante el desarrollo de los sistemas de apoyo a la toma de decisiones militares WWMCCS .
En un principio, la seguridad de la información implicaba únicamente la realización de copias de seguridad de los datos. [3] Sin embargo, una vez que aumentó el volumen de información, el acto de seguridad de la información comenzó a automatizarse, lo que redujo el uso de la intervención del operador y permitió la creación de copias de seguridad instantáneas. [3] El último gran desarrollo de la seguridad de la información es la implementación de sistemas distribuidos para el procesamiento y almacenamiento de datos a través de técnicas como SAN y NAS , además del uso de la computación en la nube . [4] [5] [3]
Estos tres avances principales en materia de seguridad de la información son paralelos a las tres generaciones de tecnologías de la información: la primera se utilizó para prevenir intrusiones, la segunda para detectarlas y la tercera para garantizar la supervivencia. [6] [7] La seguridad de la información es un esfuerzo colaborativo de todos los sectores de la vida para permitir un intercambio libre e igualitario de ideas. [ cita requerida ]
El aseguramiento de la información se construye sobre cinco pilares: disponibilidad , integridad , autenticación , confidencialidad y no repudio . [8] Estos pilares se toman en cuenta para proteger los sistemas y al mismo tiempo permitirles proporcionar servicios de manera eficiente; sin embargo, estos pilares no actúan independientemente unos de otros, sino que interfieren con el objetivo de los otros pilares. [8] Estos pilares del aseguramiento de la información han cambiado lentamente para convertirse en los pilares de la ciberseguridad. Como administrador, es importante enfatizar los pilares que desea para lograr el resultado deseado para su sistema de información, equilibrando los aspectos del servicio y la privacidad .
La autenticación se refiere a la verificación de la validez de una transmisión, un originador o un proceso dentro de un sistema de información. [9] La autenticación proporciona al receptor confianza en la validez de los datos del remitente, así como en la validez de su mensaje. [8] Existen muchas formas de reforzar la autenticación, que se dividen principalmente en tres formas principales: información de identificación personal , como el nombre de una persona, la dirección, el número de teléfono, el acceso a un token clave o información conocida, como las contraseñas. [10]
La integridad se refiere a la protección de la información contra alteraciones no autorizadas. [3] El objetivo de la integridad de la información es garantizar que los datos sean precisos durante toda su vida útil. [11] [12] La autenticación del usuario es un factor fundamental para la integridad de la información. [8] La integridad de la información es una función de la cantidad de grados de confianza que existen entre los extremos de un intercambio de información. [12] Una forma de mitigar el riesgo de integridad de la información es mediante el uso de diseños de software y chips redundantes. [13] Una falla en la autenticación podría representar un riesgo para la integridad de la información, ya que permitiría que una parte no autorizada altere el contenido. Por ejemplo, si un hospital tiene políticas de contraseñas inadecuadas, un usuario no autorizado podría obtener acceso a un sistema de información que rige la entrega de medicamentos a los pacientes y correr el riesgo de alterar el curso del tratamiento en detrimento de un paciente en particular. [12]
El pilar de disponibilidad se refiere a la preservación de los datos que se van a recuperar o modificar de personas autorizadas. Una mayor disponibilidad se preserva mediante un aumento en la confiabilidad del sistema o canal de almacenamiento. [8] Las brechas en la disponibilidad de la información pueden resultar de cortes de energía, fallas de hardware, DDOS , etc. El objetivo de la alta disponibilidad es preservar el acceso a la información. La disponibilidad de la información se puede reforzar mediante el uso de energía de respaldo , canales de datos de repuesto , capacidades fuera del sitio y señal continua . [12]
La confidencialidad es, en esencia, lo opuesto a la integridad. La confidencialidad es una medida de seguridad que protege contra quién puede acceder a los datos, lo que se hace protegiendo a quién tiene acceso a la información. [8] Esto es diferente de la integridad, ya que la integridad es proteger a quién puede cambiar la información. La confidencialidad a menudo se garantiza con el uso de criptografía y esteganografía de datos. [3] La confidencialidad se puede ver dentro de la clasificación y la superioridad de la información con operaciones internacionales como la OTAN. [14] La confidencialidad de la garantía de la información en los Estados Unidos debe seguir la HIPAA y la política de seguridad de los proveedores de atención médica, el etiquetado de la información y las regulaciones de necesidad de conocer para garantizar la no divulgación de la información. [12]
El no repudio es la integridad de los datos para que sean fieles a su origen, lo que evita la posible negación de que se produjo una acción. [3] [1] Aumentar el no repudio hace que sea más difícil negar que la información proviene de una determinada fuente. En otras palabras, hace que no se pueda cuestionar la fuente/autenticidad de los datos. El no repudio implica la reducción de la integridad de los datos mientras estos se encuentran en tránsito, generalmente mediante el uso de un ataque de intermediario o phishing . [15]
Como se dijo anteriormente, los pilares no interactúan independientemente unos de otros, ya que algunos de ellos impiden el funcionamiento de otros pilares o, en el caso opuesto, refuerzan a otros pilares. [8] Por ejemplo, el aumento de la disponibilidad de información actúa directamente en contra de los objetivos de otros tres pilares: integridad, autenticación y confidencialidad. [8]
El proceso de aseguramiento de la información comienza normalmente con la enumeración y clasificación de los activos de información que se van a proteger. A continuación, el profesional de la seguridad de la información realizará una evaluación de riesgos de dichos activos. [16] Se determinan las vulnerabilidades de los activos de información para enumerar las amenazas capaces de explotarlos. A continuación, la evaluación considera tanto la probabilidad como el impacto de que una amenaza explote una vulnerabilidad de un activo, y el impacto suele medirse en términos de coste para las partes interesadas del activo. [17] La suma de los productos del impacto de las amenazas y la probabilidad de que se produzcan es el riesgo total para el activo de información.
Una vez completada la evaluación de riesgos, el profesional de la evaluación interna desarrolla un plan de gestión de riesgos . Este plan propone contramedidas que implican mitigar, eliminar, aceptar o transferir los riesgos, y considera la prevención, detección y respuesta a las amenazas.
Un marco publicado por una organización de estándares, como NIST RMF, Risk IT , CobiT , PCI DSS o ISO/IEC 27002 , puede guiar el desarrollo. Las contramedidas pueden incluir herramientas técnicas como firewalls y software antivirus , políticas y procedimientos que requieran controles como copias de seguridad periódicas y fortalecimiento de la configuración, capacitación de empleados en concienciación sobre seguridad u organización del personal en equipos de respuesta a emergencias informáticas (CERT) o equipos de respuesta a incidentes de seguridad informática ( CSIRT ). El costo y el beneficio de cada contramedida se consideran cuidadosamente. Por lo tanto, el profesional de la IA no busca eliminar todos los riesgos; sino gestionarlos de la manera más rentable . [18]
Una vez implementado el plan de gestión de riesgos, se lo prueba y evalúa, a menudo mediante auditorías formales. [16] El proceso de evaluación de riesgos es iterativo, en el sentido de que la evaluación de riesgos y el plan de gestión de riesgos deben revisarse y mejorarse periódicamente en función de los datos recopilados sobre su integridad y eficacia. [2]
Existen dos metatécnicas en el aseguramiento de la información: auditoría y evaluación de riesgos. [16]
La gestión de riesgos empresariales se divide en tres procesos principales: evaluación de riesgos, mitigación de riesgos y evaluación y valoración. [ cita requerida ] La garantía de la información es una de las metodologías que utilizan las organizaciones para implementar la gestión de riesgos empresariales. Mediante el uso de políticas de garantía de la información como el marco "BRICK". [1] Además, la gestión de riesgos empresariales también se lleva a cabo para cumplir con las leyes federales e internacionales con respecto a la divulgación y seguridad de la información, como HIPAA . [19]
La garantía de la información se puede alinear con las estrategias corporativas a través de la capacitación y la concientización, la participación y el apoyo de la alta gerencia y la comunicación intraorganizacional, lo que permite un mayor control interno y una mejor gestión del riesgo empresarial. [20]
Muchos ejecutivos de seguridad en las empresas están pasando a confiar en la seguridad de la información para proteger la propiedad intelectual, protegerse contra posibles fugas de datos y proteger a los usuarios contra sí mismos. [17] Si bien el uso de la seguridad de la información es bueno para garantizar ciertos pilares como la confidencialidad, el no repudio, etc., debido a su naturaleza conflictiva, un aumento en la seguridad a menudo se produce a expensas de la velocidad. [8] [17] El uso de la seguridad de la información en el modelo de negocios mejora la toma de decisiones de gestión confiable, la confianza del cliente, la continuidad del negocio y la buena gobernanza tanto en los sectores público como privado. [21]
Existen varios organismos nacionales e internacionales que emiten normas sobre prácticas, políticas y procedimientos de garantía de la información. En el Reino Unido, estos incluyen el Consejo Asesor de Garantía de la Información y el Grupo de Colaboración de Garantía de la Información . [4]