Definición de seguridad de la información.

Compártelo

La seguridad de la información es el estado de un sistema de información en el que es menos susceptible a interferencias y daños por parte de terceros.

La seguridad de los datos también implica administrar los riesgos asociados con la divulgación de información o el impacto en los módulos de protección de hardware y software


La seguridad de la información que se procesa en una organización es un conjunto de acciones encaminadas a solucionar el problema de proteger el ambiente de información dentro de una empresa. Al mismo tiempo, la información no debe limitarse al uso y desarrollo dinámico para las personas autorizadas.

Requisitos del sistema de seguridad de la información

  1. Permanente. Un atacante en cualquier momento puede intentar eludir los módulos de protección de datos que le interesen.
  2. Objetivo. La información debe ser protegida en el marco de una finalidad específica, la cual es fijada por la organización o el titular de los datos.
  3. Planeado. Todos los métodos de protección deben cumplir con las normas, leyes y reglamentos gubernamentales que rigen la protección de datos confidenciales.
  4. Activo. Las actividades para apoyar la operación y mejorar el sistema de protección deben llevarse a cabo periódicamente.
  5. Complejo. Es inaceptable el uso de módulos de protección individual o medios técnicos únicamente. Es necesario aplicar todos los tipos de protección en toda su extensión, de lo contrario, el sistema desarrollado carece de sentido y justificación económica.
  6. Universales. Los medios de protección deben seleccionarse de acuerdo con los canales de fuga existentes en la empresa.
  7. Confiable. Todas las técnicas de protección deberían bloquear de forma fiable las posibles formas de proteger la información de un intruso, independientemente de la forma de presentación de los datos.

 

 

Modelo de sistema de seguridad

La información se considera segura si se cumplen tres propiedades principales.

  1. El primero, la integridad , implica garantizar la confiabilidad y la visualización correcta de los datos protegidos, independientemente de los sistemas de seguridad y las técnicas de protección que se utilicen en la empresa. El procesamiento de datos no debe verse afectado, y los usuarios del sistema que trabajan con archivos protegidos no deben sufrir modificaciones no autorizadas o destrucción de recursos, fallas de software.
  2. La segunda, la confidencialidad , significa que el acceso a la visualización y edición de datos se proporciona exclusivamente a los usuarios autorizados del sistema de protección.
  3. La tercera, accesibilidad , implica que todos los usuarios autorizados deben tener acceso a la información confidencial.

 

Basta violar una de las propiedades de la información protegida para que el uso del sistema pierda sentido.

Etapas de creación y mantenimiento de un sistema de seguridad de la información

En la práctica, la creación de un sistema de seguridad de la información se lleva a cabo en tres etapas.

 

En la primera etapa , se desarrolla un modelo básico del sistema, que funcionará en la empresa. Para ello, es necesario analizar todo tipo de datos que circulan en la empresa y que necesitan ser protegidos de intrusiones de terceros. El plan de trabajo en la etapa inicial consta de cuatro preguntas:

  1. ¿Qué fuentes de información deben protegerse?
  2. ¿Cuál es el propósito de obtener acceso a la información protegida?

La finalidad puede ser acceder, cambiar, modificar o destruir los datos. Toda acción es ilegal si la realiza un atacante. La familiarización no conduce a la destrucción de la estructura de datos, y la modificación y destrucción conducen a la pérdida parcial o total de la información.

  1. ¿Cuál es la fuente de información confidencial?

Las fuentes en este caso son personas y recursos de información: documentos, medios flash, publicaciones, productos, sistemas informáticos, medios para proporcionar trabajo.

  1. ¿Formas de obtener acceso y cómo protegerse de intentos no autorizados de influir en el sistema?

Existen los siguientes métodos de acceso:

  • Acceso no autorizado - uso ilegal de datos;
  • La fuga es la difusión incontrolada de información fuera de la red corporativa. La fuga se produce por deficiencias, debilidades en el canal técnico del sistema de seguridad;
  • La divulgación es una consecuencia del impacto del factor humano. Los usuarios autorizados pueden divulgar información para compartir con competidores, o por negligencia.

La segunda etapa incluye el desarrollo de un sistema de protección. Esto significa implementar todos los métodos, medios y direcciones de protección de datos elegidos.

 

El sistema está construido en varias áreas de protección a la vez, en varios niveles que interactúan entre sí para garantizar un control confiable de la información.

El nivel legal asegura el cumplimiento de las normas estatales en el campo de la seguridad de la información e incluye derechos de autor, decretos, patentes y descripciones de puestos. Un sistema de protección bien construido no viola los derechos de los usuarios y las normas de procesamiento de datos.

El nivel organizacional le permite crear reglas para el trabajo de los usuarios con información confidencial, seleccionar personal, organizar el trabajo con documentación y soportes físicos de datos.

Las reglas para el trabajo de los usuarios con información confidencial se denominan reglas de control de acceso. Las reglas las establece la dirección de la empresa junto con el servicio de seguridad y el proveedor que implementa el sistema de seguridad. El objetivo es crear condiciones de acceso a los recursos de información para cada usuario, por ejemplo, el derecho a leer, editar, transferir un documento confidencial. Las reglas de control de acceso se desarrollan a nivel organizacional y se implementan en la etapa de trabajo con el componente técnico del sistema.

El nivel técnico se divide condicionalmente en subniveles físico, hardware, software y matemático.

  • físico : la creación de barreras alrededor del objeto protegido: sistemas de seguridad, ruido, fortalecimiento de estructuras arquitectónicas;
  • hardware - instalación de medios técnicos: computadoras especiales, sistemas de control de empleados, protección de servidores y redes corporativas;
  • software : instalación del software shell del sistema de protección, implementación de la regla de control de acceso y prueba de trabajo;
  • matemática : la implementación de métodos de protección de datos criptográficos y abreviados para una transmisión segura a través de una red corporativa o global.

La tercera y última etapa es el mantenimiento del rendimiento del sistema, el seguimiento periódico y la gestión de riesgos. Es importante que el módulo de protección sea flexible y permita al administrador de seguridad mejorar rápidamente el sistema cuando se descubran nuevas amenazas potenciales.

 

Solicita más información en nuestro programa de MAGÍSTER EN CIBERSEGURIDAD en Ceupe Chile

 

Magíster en ciberseguridad

 

 

Valora este artículo del blog:
¿ Qué es la comunicación?
Tipos de datos confidenciales de seguridad de la I...
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Jueves, 08 Diciembre 2022