La correcta Gestión de la Seguridad de la Información busca establecer y mantener programas, controles y
políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información, si
alguna de estas características falla no estamos ante nada seguro. Es preciso anotar, además, que la seguridad no es
ningún hito, es más bien un proceso continuo que hay que gestionar conociendo siempre las vulnerabilidades y las
amenazas que se ciñen sobre cualquier información, teniendo siempre en cuenta las causas de riesgo y la
probabilidad de que ocurran, así como el impacto que puede tener. Una vez conocidos todos estos puntos, y nunca
antes, deberán tomarse las medidas de seguridad oportunas.
Confidencialidad
La confidencialidad es la propiedad que impide la divulgación de información a personas o sistemas no
autorizados. A grandes rasgos, asegura el acceso a la información únicamente a aquellas personas que cuenten con
la debida autorización.
Por ejemplo, una transacción de tarjeta de crédito en Internet requiere que el número de tarjeta de crédito a ser
transmitida desde el comprador al comerciante y el comerciante de a una red de procesamiento de transacciones. El
sistema intenta hacer valer la confidencialidad mediante el cifrado del número de la tarjeta y los datos que contiene
la banda magnética durante la transmisión de los mismos. Si una parte no autorizada obtiene el número de la tarjeta
en modo alguno, se ha producido una violación de la confidencialidad.
La pérdida de la confidencialidad de la información puede adoptar muchas formas. Cuando alguien mira por
encima de su hombro, mientras usted tiene información confidencial en la pantalla, cuando se publica información
privada, cuando un laptop con información sensible sobre una empresa es robado, cuando se divulga información
confidencial a través del teléfono, etc. Todos estos casos pueden constituir una violación de la confidencialidad.
Integridad
Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. (No es igual a integridad
referencial en bases de datos.) A groso modo, la integridad es el mantener con exactitud la información tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no autorizados.
La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala
intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido
permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada,
asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de
datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la
información.
Disponibilidad
La disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de
quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. A groso modo, la disponibilidad es el
acceso a la información y a los sistemas por personas autorizadas en el momento que así lo requieran.
En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de
seguridad utilizados para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella
deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe estar disponible en todo
momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del
sistema.
Garantizar la disponibilidad implica también la prevención de ataque de denegación de servicio. Para poder
manejar con mayor facilidad la seguridad de la información, las empresas o negocios se pueden ayudar con un
sistema de gestión que permita conocer, administrar y minimizar los posibles riesgos que atenten contra la
seguridad de la información del negocio.
La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el
sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera. Tales
mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de bases de datos, de
web etc, mediante el uso de clusters o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores
espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades
dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar.
Entradas
2 Comentarios
Muy buen trabajo!
ResponderBorrargracias recién empiezo en la seguridad informática
ResponderBorrarsaludos desde lima PERU.