stringtranslate.com

Aseguramiento de información

El aseguramiento de la información ( IA ) es la práctica de asegurar la información y gestionar los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de la información. El aseguramiento de la información incluye la protección de la integridad , disponibilidad, autenticidad, no repudio y confidencialidad de los datos de los usuarios. [1] La IA abarca tanto protecciones digitales como técnicas físicas. Estos métodos se aplican a datos en tránsito , tanto en forma física como electrónica, así como a datos en reposo . La IA se considera mejor como un superconjunto de seguridad de la información (es decir, un término general) y como el resultado empresarial de la gestión de riesgos de la información .

Descripción general

El Cubo McCumber : uno de los esquemas comunes de aseguramiento de la información

El aseguramiento de la información (IA) es el proceso de procesar, almacenar y transmitir la información correcta a las personas adecuadas en el momento adecuado. [1] La IA se relaciona con el nivel empresarial y la gestión de riesgos estratégicos de la información y sistemas relacionados, más que con la creación y aplicación de controles de seguridad. La IA se utiliza para beneficiar a las empresas mediante el uso de la gestión de riesgos de la información , la gestión de la confianza , la resiliencia, la arquitectura adecuada, la seguridad del sistema y la protección, lo que aumenta la utilidad de la información solo para sus usuarios autorizados.

Además de defenderse contra piratas informáticos y códigos maliciosos (por ejemplo, virus ), los profesionales de IA consideran cuestiones de gobierno corporativo como la privacidad , el cumplimiento de normas y estándares , la auditoría , la continuidad del negocio y la recuperación ante desastres en lo que se refieren a los sistemas de información. Además, la IA es un campo interdisciplinario que requiere experiencia en negocios , contabilidad , experiencia de usuario, examen de fraude , ciencias forenses , ciencias de la gestión , ingeniería de sistemas , ingeniería de seguridad y criminología , además de ciencias de la computación.

Evolución

Con el crecimiento de las redes de telecomunicaciones también viene la dependencia de las redes, lo que hace que las comunidades sean cada vez más vulnerables a ataques cibernéticos que podrían interrumpir, degradar o destruir servicios vitales. [2] A partir de la década de 1950, el papel y el uso del aseguramiento de la información han crecido y evolucionado. Estas prácticas de circuito de retroalimentación se emplearon durante el desarrollo de los sistemas de apoyo a las decisiones militares del WWMCCS .

Diagrama del circuito de retroalimentación OODA

Al principio, el aseguramiento de la información implicaba simplemente la copia de seguridad de los datos. [3] Sin embargo, una vez que aumentó el volumen de información, el acto de asegurar la información comenzó a automatizarse, reduciendo el uso de la intervención del operador, permitiendo la creación de copias de seguridad instantáneas. [3] El último desarrollo importante del aseguramiento de la información es la implementación de sistemas distribuidos para el procesamiento y almacenamiento de datos a través de técnicas como SAN y NAS además del uso de computación en la nube . [4] [5] [3]

Estos tres desarrollos principales del aseguramiento de la información son paralelos a las tres generaciones de tecnologías de la información, la primera utilizada para prevenir intrusiones, la segunda para detectar intrusiones y la tercera para la supervivencia. [6] [7] La ​​garantía de la información es un esfuerzo colaborativo de todos los sectores de la vida para permitir un intercambio de ideas libre e igualitario. [ cita necesaria ]

Pilares

El aseguramiento de la información se construye entre cinco pilares: disponibilidad , integridad , autenticación , confidencialidad y no repudio . [8] Estos pilares se tienen en cuenta para proteger los sistemas y al mismo tiempo permitirles proporcionar servicios de manera eficiente; Sin embargo, estos pilares no actúan independientemente unos de otros, sino que interfieren con el objetivo de los demás pilares. [8] Estos pilares de la garantía de la información han cambiado lentamente hasta convertirse en los pilares de la seguridad cibernética. Como administrador es importante enfatizar los pilares que desea para lograr el resultado deseado para su sistema de información, equilibrando los aspectos de servicio y privacidad .

Autenticación

La autenticación se refiere a la verificación de la validez de una transmisión, originador o proceso dentro de un sistema de información. [9] La autenticación proporciona al destinatario confianza en la validez de los datos del remitente, así como en la validez de su mensaje. [8] Existen muchas formas de reforzar la autenticación, dividiéndose principalmente en tres formas principales: información de identificación personal , como el nombre de una persona, la dirección, el número de teléfono, el acceso a un token clave o información conocida, como contraseñas. [10]

Integridad

La integridad se refiere a la protección de la información contra alteraciones no autorizadas. [3] El objetivo de la integridad de la información es garantizar que los datos sean precisos durante toda su vida útil. [11] [12] La autenticación del usuario es un elemento fundamental para la integridad de la información. [8] La integridad de la información es función del número de grados de confianza existentes entre los extremos de un intercambio de información. [12] Una forma de mitigar el riesgo de integridad de la información es mediante el uso de diseños de software y chips redundantes. [13] Una falla en la autenticación podría representar un riesgo para la integridad de la información, ya que permitiría que una parte no autorizada altere el contenido. Por ejemplo, si un hospital tiene políticas de contraseñas inadecuadas, un usuario no autorizado podría obtener acceso a los sistemas de información que rigen la entrega de medicamentos a los pacientes y correr el riesgo de alterar el curso del tratamiento en detrimento de un paciente en particular. [12]

Disponibilidad

El pilar de disponibilidad se refiere a la preservación de los datos que deben recuperarse o modificarse de personas autorizadas. Se preserva una mayor disponibilidad mediante un aumento en la confiabilidad del canal o del sistema de almacenamiento. [8] Las violaciones en la disponibilidad de la información pueden resultar de cortes de energía, fallas de hardware, DDOS , etc. El objetivo de la alta disponibilidad es preservar el acceso a la información. La disponibilidad de información puede reforzarse mediante el uso de energía de respaldo , canales de datos adicionales , capacidades externas y señal continua . [12]

Confidencialidad

La confidencialidad es, en esencia, lo opuesto a la integridad. La confidencialidad es una medida de seguridad que protege contra quién puede acceder a los datos, lo que se realiza protegiendo quién tiene acceso a la información. [8] Esto es diferente de la integridad, ya que la integridad protege quién puede cambiar la información. La confidencialidad a menudo se garantiza mediante el uso de criptografía y esteganografía de datos. [3] La confidencialidad se puede ver dentro de la clasificación y la superioridad de la información en operaciones internacionales como la OTAN. [14] La confidencialidad de la información en los Estados Unidos debe seguir la política de seguridad de la HIPAA y de los proveedores de atención médica, el etiquetado de la información y las regulaciones de necesidad de conocer para garantizar la no divulgación. de información. [12]

No repudio

El no repudio es la integridad de los datos para que sean fieles a su origen, lo que evita una posible negación de que ocurrió una acción. [3] [1] El creciente no repudio hace que sea más difícil negar que la información proviene de una determinada fuente. En otras palabras, hace que no se pueda cuestionar la fuente/autenticidad de los datos. El no repudio implica la reducción de la integridad de los datos mientras están en tránsito, generalmente mediante el uso de un ataque de intermediario o phishing . [15]

Interacciones de pilares

Como se indicó anteriormente, los pilares no interactúan de forma independiente entre sí, de modo que algunos pilares impidan el funcionamiento de otros pilares o, en el caso contrario, impulsen a otros pilares. [8] Por ejemplo, la creciente disponibilidad de información va directamente en contra de los objetivos de otros tres pilares: integridad, autenticación y confidencialidad. [8]

Proceso

El proceso de aseguramiento de la información generalmente comienza con la enumeración y clasificación de los activos de información que se deben proteger. A continuación, el profesional de AI realizará una evaluación de riesgos para esos activos. [16] Las vulnerabilidades en los activos de información se determinan con el fin de enumerar las amenazas capaces de explotar los activos. Luego, la evaluación considera tanto la probabilidad como el impacto de que una amenaza explote una vulnerabilidad en un activo, y el impacto generalmente se mide en términos de costo para las partes interesadas del activo. [17] La ​​suma de los productos del impacto de las amenazas y la probabilidad de que ocurran es el riesgo total para el activo de información.

Una vez completada la evaluación de riesgos, el profesional de AI desarrolla un plan de gestión de riesgos . Este plan propone contramedidas que involucran mitigar, eliminar, aceptar o transferir los riesgos y considera la prevención, detección y respuesta a las amenazas.

Un marco publicado por una organización de estándares, como NIST RMF, Risk IT , CobiT , PCI DSS o ISO/IEC 27002 , puede guiar el desarrollo. Las contramedidas pueden incluir herramientas técnicas como firewalls y software antivirus , políticas y procedimientos que requieran controles como copias de seguridad periódicas y refuerzo de la configuración, capacitación de los empleados en materia de seguridad u organización del personal en un equipo de respuesta a emergencias informáticas (CERT) dedicado o respuesta a incidentes de seguridad informática. equipo ( CSIRT ). Se considera cuidadosamente el costo y beneficio de cada contramedida. Por tanto, el practicante de AI no busca eliminar todos los riesgos; sino gestionarlos de la forma más rentable . [18]

Una vez implementado el plan de gestión de riesgos, se prueba y evalúa, a menudo mediante auditorías formales. [16] El proceso de evaluación de impacto es iterativo, en el sentido de que la evaluación de riesgos y el plan de gestión de riesgos deben revisarse y mejorarse periódicamente en función de los datos recopilados sobre su integridad y eficacia. [2]

Existen dos metatécnicas con aseguramiento de la información: auditoría y evaluación de riesgos. [dieciséis]

Gestión de riesgos empresariales

La Gestión de Riesgos Empresariales se divide en tres procesos principales: Evaluación de Riesgos, Mitigación de Riesgos y Evaluación y valoración. [ cita necesaria ] El aseguramiento de la información es una de las metodologías que utilizan las organizaciones para implementar la gestión de riesgos comerciales. Mediante el uso de políticas de aseguramiento de la información como el marco "BRICK". [1] Además, la gestión de riesgos empresariales también cumple con las leyes federales e internacionales relativas a la divulgación y seguridad de la información, como HIPAA . [19]

La garantía de la información se puede alinear con las estrategias corporativas a través de la capacitación y la concientización, la participación y el apoyo de la alta dirección y la comunicación intraorganizacional, lo que permite un mayor control interno y gestión de riesgos comerciales. [20]

Muchos ejecutivos de seguridad de sus empresas están recurriendo al aseguramiento de la información para proteger la propiedad intelectual, protegerse contra posibles fugas de datos y proteger a los usuarios contra sí mismos. [17] Si bien el uso del aseguramiento de la información es bueno para garantizar ciertos pilares como la confidencialidad, el no repudio, etc., debido a su naturaleza conflictiva, un aumento en la seguridad a menudo se produce a expensas de la velocidad. [8] [17] El uso del aseguramiento de la información en el modelo de negocio mejora la toma de decisiones de gestión confiable, la confianza del cliente, la continuidad del negocio y la buena gobernanza tanto en el sector público como en el privado. [21]

Organizaciones de normalización y normas.

Hay una serie de organismos internacionales y nacionales que emiten normas sobre prácticas, políticas y procedimientos de aseguramiento de la información. En el Reino Unido, estos incluyen el Consejo Asesor de Aseguramiento de la Información y el Grupo de Colaboración de Aseguramiento de la Información . [4]

Ver también

Referencias

Notas
  1. ^ abcd Sosin, Artur (1 de abril de 2018). "CÓMO AUMENTAR LA GARANTÍA DE LA INFORMACIÓN EN LA ERA DE LA INFORMACIÓN". Revista de gestión de recursos de defensa . 9 (1): 45–57. ISSN  2068-9403.
  2. ^ ab McConnell, M. (abril de 2002). "Garantía de la información en el siglo XXI". Computadora . 35 (4): supl16–supl19. doi :10.1109/MC.2002.1012425. ISSN  0018-9162.
  3. ^ abcdef Cummings, R. (diciembre de 2002). "La evolución del aseguramiento de la información". Computadora . 35 (12): 65–72. doi :10.1109/MC.2002.1106181. ISSN  0018-9162.
  4. ^ ab Pringle, Nick; Burgess, Mikhaila (mayo de 2014). "Aseguramiento de la información en un cluster forense distribuido". Investigación Digital . 11 : S36-S44. doi : 10.1016/j.diin.2014.03.005 .
  5. ^ Chakraborty, Rajarshi; Ramireddy, Srilakshmi; Raghu, TS; Rao, H. Raghav (julio de 2010). "Las prácticas de garantía de la información de los proveedores de informática en la nube". Profesional de TI . 12 (4): 29–37. doi :10.1109/mitp.2010.44. ISSN  1520-9202. S2CID  8059538.
  6. ^ Luenam, P.; Peng Liu (2003). "El diseño de un sistema de base de datos adaptativo tolerante a intrusiones". Fundamentos de los sistemas tolerantes a intrusiones, 2003 [Sistemas de información con garantía orgánica y supervivencia]. IEEE. págs. 14-21. doi : 10.1109/se adapta a 2003.1264925. ISBN 0-7695-2057-X. S2CID  14058057.
  7. ^ Liu, Peng; Zang, Wanyu (2003). "Modelado basado en incentivos e inferencia de la intención, los objetivos y las estrategias del atacante". Actas de la décima conferencia ACM sobre seguridad informática y de las comunicaciones . Nueva York, Nueva York, Estados Unidos: ACM Press. pag. 179. doi : 10.1145/948109.948135. ISBN 1-58113-738-9. S2CID  3897784.
  8. ^ abcdefghi Wilson, Kelce S. (julio de 2013). "Conflictos entre los pilares de la garantía de la información". Profesional de TI . 15 (4): 44–49. doi :10.1109/mitp.2012.24. ISSN  1520-9202. S2CID  27170966.
  9. ^ Sadiku, Mateo; Alam, Shumon; Musa, Sarhan (2017). "Beneficios y desafíos de la garantía de la información: una introducción". procon.bg . Consultado el 28 de noviembre de 2020 .
  10. ^ San Nicolás-Rocca, Tonia; Burkhard, Richard J (17 de junio de 2019). "Seguridad de la Información en Bibliotecas". Tecnologías de la Información y Bibliotecas . 38 (2): 58–71. doi : 10.6017/ital.v38i2.10973 . ISSN  2163-5226.
  11. ^ Boritz, J. Efrim (diciembre de 2005). "Opiniones de los profesionales de SI sobre conceptos básicos de integridad de la información". Revista Internacional de Sistemas de Información Contable . 6 (4): 260–279. doi :10.1016/j.accinf.2005.07.001.
  12. ^ abcde Schou, CD; Escarcha, J.; Maconachy, WV (enero de 2004). "Aseguramiento de la información en sistemas informáticos biomédicos". Revista IEEE Ingeniería en Medicina y Biología . 23 (1): 110-118. doi :10.1109/MEMB.2004.1297181. ISSN  0739-5175. PMID  15154266. S2CID  7746947.
  13. ^ Yan, Aibin; Hu, Yuanjie; Cui, Jie; Chen, Zhili; Huang, Zhengfeng; Ni, Tianming; Girard, Patricio; Wen, Xiaoqing (1 de junio de 2020). "Garantía de la información a través de un diseño redundante: un nuevo pestillo TNU resistente a errores para entornos de radiación hostiles". Transacciones IEEE en computadoras . 69 (6): 789–799. doi :10.1109/tc.2020.2966200. ISSN  0018-9340. S2CID  214408357.
  14. ^ Hanna, Michael; Granzow, David; Bolte, Bjorn; Alvarado, Andrés (2017). "Inteligencia e intercambio de información de la OTAN: mejora de la estrategia de la OTAN para las operaciones de estabilización y reconstrucción". Conexiones: El diario trimestral . 16 (4): 5–34. doi : 10.11610/conexiones.16.4.01 . ISSN  1812-1098.
  15. ^ Chen, Chin-Ling; Chiang, Mao-Lun; Hsieh, Hui-Ching; Liu, Ching-Cheng; Deng, Yong-Yuan (8 de mayo de 2020). "Una autenticación mutua ligera con un dispositivo portátil en informática de borde móvil basada en la ubicación". Comunicaciones personales inalámbricas . 113 (1): 575–598. doi :10.1007/s11277-020-07240-2. ISSN  0929-6212. S2CID  218934756.
  16. ^ abc Tal, José M.; Gouglidis, Antonios; Knowles, William; Misra, Gaurav; Rashid, Awais (julio de 2016). "Técnicas de aseguramiento de la información: rentabilidad percibida". Computadoras y seguridad . 60 : 117-133. doi :10.1016/j.cose.2016.03.009.
  17. ^ abc Johnson, YO; Goetz, E.; Pfleeger, SL (mayo de 2009). "Seguridad a través de la Gestión de Riesgos de la Información". Privacidad de seguridad IEEE . 7 (3): 45–52. doi :10.1109/MSP.2009.77. ISSN  1558-4046. S2CID  30062820.
  18. ^ Singh, R.; Salam, AF (mayo de 2006). "Garantía de la información semántica para la gestión segura del conocimiento distribuido: una perspectiva de procesos de negocio". Transacciones IEEE sobre sistemas, hombre y cibernética - Parte A: Sistemas y humanos . 36 (3): 472–486. doi :10.1109/TSMCA.2006.871792. ISSN  1083-4427. S2CID  10191333.
  19. ^ Parque, Insu; Sharman, Raj; Rao, H. Raghav (2 de febrero de 2015). "Experiencia en desastres y sistemas de información hospitalaria: un examen de la seguridad, el riesgo, la resiliencia y la utilidad de la información percibida". MIS trimestral . 39 (2): 317–344. doi :10.25300/misq/2015/39.2.03. ISSN  0276-7783.
  20. ^ McFadzean, Elspeth; Ezingeard, Jean-Noël; Birchall, David (8 de abril de 2011). "Garantía de la información y estrategia corporativa: un estudio Delphi de opciones, desafíos y desarrollos para el futuro". Gestión de Sistemas de Información . 28 (2): 102-129. doi :10.1080/10580530.2011.562127. ISSN  1058-0530. S2CID  11624922.
  21. ^ Ezingeard, Jean-Noël; McFadzean, Elspeth; Birchall, David (marzo de 2005). "Un modelo de beneficios de aseguramiento de la información". Gestión de Sistemas de Información . 22 (2): 20–29. doi :10.1201/1078/45099.22.2.20050301/87274.3. ISSN  1058-0530. S2CID  31840083.
Bibliografía

enlaces externos

Documentación

La garantía de la información también ha evolucionado gracias a las redes sociales