"Nuestra Maestría en Ciberseguridad es de referencia internacional, escogida por empresas Multinacionales y Gobiernos como la más completa en su categoría"

InicioNoticias¿Cuáles son los principios de la seguridad de la información?
NoticiasCiberseguridad

¿Cuáles son los principios de la seguridad de la información?

En la red cada día se producen numerosos ataques a sitios y cuentas con los que se busca violentar los accesos procurando algún tipo de provecho.

Cuáles son los principios de la seguridad de la información

SOLICITA MÁS INFORMACIÓN DE LA MAESTRÍA EN CIBERSEGURIDAD

Máster en Ciberseguridad - Seguridad de la Información

    RECIBE EN TU EMAIL:

    El precio y facilidades de pago.
    Postulación a la BECA 65% dcto.
    Complementos: Curso de idiomas GRATIS (Sólo por pago único) + Networking Profesional.

    Con el transcurso del tiempo y el desarrollo de las comunicaciones, la información se ha ido transformando en uno de los principales bienes en toda empresa. Pero al mismo tiempo ha dado pie a la aparición de una nueva clase de problemas: la apropiación ilegal e ilegítima de esa información. Velar por su protección, ha conducido a la institucionalización de una suerte de protocolo que se define como los principios de la seguridad de la información.

    Al respecto se parte de la convicción de que la utilización de la información se ha transformado en un factor muy complejo y clave. Veamos en qué se fundamentan esos principios. En primer lugar, se trata de una suerte de combinación de tres factores de singular importancia que hacen posible el pensar adecuadamente, acerca de las necesidades de seguridad de una empresa.

    Esta guía pretende ayudarle en los aspectos cotidianos de la seguridad de la información. No abarcará todas las situaciones posibles, ni le proporcionará una comprensión completa del tema. Lo que sí hará es ofrecerle algunos consejos y trucos fáciles de seguir sobre cómo evitar las trampas más comunes y asegurarse de que sus activos de información están protegidos de la mejor manera posible.

    Principios de la seguridad de la información: necesidades de la empresa

    Índice de Contenidos
    1. Principios de la seguridad de la información: necesidades de la empresa
    2. Los principios de seguridad en la información
    2.1. 1. La seguridad absoluta es imposible
    2.2. 2. Propósitos básicos de la seguridad
    2.3. Este principio de la seguridad de la información se basa en protegerse de otros usuarios
    2.4. 3. Una protección diversificada
    2.5. 4. La gente suele tomar decisiones de seguridad sin reflexionar
    2.6. 5. La seguridad de los sistemas informáticos está sujeta a dos condiciones
    2.7. 6. Resguardar el modo como es protegido el software
    2.8. 7. El manejo de los riesgos y la seguridad
    2.9. 8. Modalidades de mecanismos de seguridad
    3. La profesionalización de la seguridad en redes
    • Todos aquellos conocimientos con los que hoy en día se cuenta acerca de los ordenadores y las redes informáticas (incluyendo la WWW).
    • Un conjunto de conceptos y criterios clave, acerca de lo que significa la seguridad.
    • Los términos de las relaciones entre la naturaleza humana y la tecnología.

    Existe un elemento extra que actúa como catalizador respecto de estos referentes, y se encuentra en una doble condición natural al manejo de los datos:

    • La posibilidad de acceder a la información por parte de los interesados legales.
    • La minimización de los riesgos que implica ese acceso a la información.

    En la red cada día se producen numerosos ataques a sitios y cuentas con los que se busca violentar los accesos procurando algún tipo de provecho. Dicho de otra manera, se pretende estafar a cualquier usuario de la red que represente un potencial beneficio económico. El procedimiento más empleado para estafar a los usuarios de la red es el llamado “phising” o suplantación de identidad.

    El desarrollo y perfeccionamiento de esta práctica ha ido in crescendo con el transcurrir del tiempo. Es asimismo, una de las razones que impulsan el desarrollo de criterios de seguridad que aminoren los daños producidos por los estafadores de todo tipo.

    La seguridad de la información es la práctica de defender la información del acceso, uso, divulgación, alteración, modificación, lectura, inspección, registro o destrucción no autorizados. Es un concepto amplio que incluye medidas de seguridad física (por ejemplo, cerraduras), procedimientos administrativos (por ejemplo: políticas de manejo de datos) y medidas de seguridad tecnológica (por ejemplo: encriptación).

    En su conjunto, estas prácticas están diseñadas para proteger la información del acceso no intencionado o no autorizado de usuarios de dentro y fuera de una organización.

    Las amenazas a la seguridad de la información pueden ser pasivas (como las escuchas) o activas (como los ataques que corrompen los datos). Pueden utilizar interacciones humanas o tecnología sofisticada para robar o modificar datos. La pérdida o el daño de los datos puede suponer un coste económico para las personas afectadas y/o un daño significativo para la reputación. Las amenazas a la seguridad de la información incluyen la delincuencia informática y el espionaje.

    La seguridad de la información es la «protección de la información y de los sistemas de información mediante el establecimiento de salvaguardias físicas, electrónicas y de gestión adecuadas»

    Los principios de seguridad en la información

    Pensar en estos principios de seguridad en la información, equivale a considerar cada detalle significativo relacionado con cualquier intento de intervención externa e ilegal en tu sistema informático. 

    1. La seguridad absoluta es imposible

    El elemento fundamental a considerar para asumir el resguardo de la información está precisamente en saber que la seguridad total y absoluta no es susceptible de obtenerse. Hay que considerar a este como el primero de los principios de seguridad en la información. ¿Cómo se puede entender este principio? Una persona con suficiente conocimiento, curiosidad, habilidad, tiempo y equipos es capaz de burlar las condiciones de seguridad más elaboradas.

    2. Propósitos básicos de la seguridad

    La seguridad informática tiene tres metas que deberían poder ser alcanzadas; cada programa de esquemas de seguridad informática tiende a satisfacer la mayoría o la totalidad de estos propósitos. 

    • La protección de la privacidad o confidencialidad de la información.
    • La inmunidad o integridad de los datos almacenados.
    • La posibilidad de que personas autorizadas puedan disponer en cualquier momento de la información.

    Para los diseñadores de sistemas de seguridad informática, es fundamental proteger la privacidad (confidencialidad) de los datos vitales de una empresa o institución. Lo que es esencial en cuanto a esta protección, es impedir la introducción de cambios bien sea intencionales o bien fortuitos.

    Una necesidad fundamental en la seguridad informática está en poseer mecanismos de alerta que sean suficientemente ágiles y seguros. En un principio, estos permiten ganar el tiempo suficiente para hacer posible la intercepción de toda intromisión. Uno de los primeros mecanismos está compuesto por los dos elementos más conocidos de todos:

    • La identificación de un usuario autorizado.
    • El ingreso mediante una clave de acceso (contraseña).

    Este principio de la seguridad de la información se basa en protegerse de otros usuarios

    El principal peligro está constituido por el usuario no autorizado, que bien pudiera intentar introducir cambios tanto en la información como en los software. El segundo peligro, está en usuarios legales que pretendan llevar a cabo modificaciones para las cuales no están autorizados. Toda protección se traduce en la conservación de la inmunidad (integridad) tanto de la información como de los programas que usas en forma permanente.

    Otro de los detalles cruciales de los principios de seguridad en la información, es poder disponer de la información que necesitas, cuando la necesitas. Esto es crucial cuando se trata de situaciones de incidentes o emergencias. Existen tres situaciones en las que se ponen a prueba de manera crucial los sistemas de seguridad informática:

    • Cuando se presenta un código DoS (denegación de servicios). Este evento se puede producir cuando se producen intervenciones maliciosas o por causa de fallas no precisadas inicialmente.
    • Cuando los sistemas de información pierden sus capacidades, esto puede producirse por causa de desastres naturales o también por intervención humana de carácter malicioso.
    • Cuando se produce algún tipo de fallo en los equipos o dispositivos en uso.

    Una providencia verdaderamente fundamental se refiere al estar prevenido para la recuperación de tu sistema en caso de desastres. Esta recuperación se mueve asociada a esa frase que se expresa como “control de daños”. En todo caso, es la que permite mantener el funcionamiento del sistema y con él, de tu empresa.

    3. Una protección diversificada

    En la mayoría de los casos, la satisfacción de las metas básicas de la seguridad informática puede demandar el cumplimiento de ciertos parámetros. Uno de ellos es la concesión de acceso a la información solo por parte de un personal debidamente autorizado. Otro sería, encriptar la información que has de enviar mediante la red o que pretendes almacenar en algún medio. Por último, probar periódicamente la seguridad del sistema en busca de potenciales fallos.

    Por otro lado, es considerablemente importante incluir en tu sistema de seguridad diversos niveles (capas) de protección. Este mecanismo de capas es conocido regularmente como “protección en profundidad” y con él se busca satisfacer los tres requisitos centrales de la protección informática:

    • En primer lugar, la prevención de los fallos de seguridad.
    • En segundo lugar, su detección.
    • Por último, la creación de una respuesta protectiva.

    Con cada una de las diversas instancias (capas) de protección se pretende compensar potenciales fallos o debilidades de cualquiera de las otras. Esto representa la existencia de una especie de solapamiento, superposición o secuencia de protección y respaldo de cada capa respecto de las otras. La superposición de esas capas debería garantizar la consecución de los tres objetivos señalados arriba: protección, detección y contestación a todo ataque externo.

    El término «protección» se utiliza para designar el acto, el proceso o la técnica de proteger contra el peligro o la pérdida; salvaguardar, evitar el ataque o la agresión, refugiarse y mantenerse a salvo.

    Tomada individualmente, cada una de las diversas instancias (capas) de protección pretende compensar los posibles fallos o debilidades de cualquiera de las otras. Esto representa la existencia de una especie de solapamiento, superposición o secuencia de protección y apoyo de cada capa con respecto a las demás.

    La seguridad en varios niveles es mejor que la seguridad muy compleja

    En una estructura de este tipo no hay un único punto en el que un agresor pueda tener la completa certeza de que sus esfuerzos lograrán traspasar todas las barreras. Aunque cualquier capa puede ser violada si se considera lo suficientemente débil, no necesariamente le dará acceso a todas las áreas de vulnerabilidad por debajo de ella y, por tanto, abrirá todo el sistema a su uso.

    Por lo tanto, hay múltiples oportunidades en las que puede verse frustrado en sus esfuerzos y encontrar su progreso terminado. Esto es lo que hace que la protección total sea efectiva: significa que el objetivo que busca un agresor debe fragmentarse en muchas etapas diferentes para poder cumplirse. En términos prácticos, esto puede significar que sólo una parte de un sistema será vulnerable en un momento dado.

    4. La gente suele tomar decisiones de seguridad sin reflexionar

    Suele decirse que mucha gente es capaz de tomar decisiones sin pensar en las consecuencias, por ejemplo, revelar su contraseña de acceso a un lugar determinado. En relación con los principios de seguridad en la información, esta eventualidad genera graves problemas de seguridad a las compañías que te proveen de un servicio determinado. Sus esfuerzos para asegurar sus sistemas se ven burlados con facilidad.

    5. La seguridad de los sistemas informáticos está sujeta a dos condiciones

    La primera de estas condiciones se refiere a asuntos de carácter funcional. La segunda tiene que ver con sus garantías de funcionamiento.

    • Las condiciones funcionales se relacionan con lo que debe satisfacer un sistema informático.
    • Las garantías de funcionamiento guardan relación con el modo de implementación y prueba de los primeros.

    Estas dos condiciones apuntan a la satisfacción de dos inquietudes asociadas indisolublemente con ellas. Su actuación conjunta puede (y debe) ser entendida según criterios de verificación y validación:

    • ¿El sistema trabaja correctamente (actúa del modo como se promueve)?
    • ¿El sistema lleva a efecto las funciones adecuadas de la manera adecuada?

    La certificación de la relación entre ambas variables genera seguridad en el producto. Esto hace posible que un sistema informático salga al mercado con la suficiente confianza en sus capacidades antes de insertarse en los rigores y riesgos de Internet.

    6. Resguardar el modo como es protegido el software

    Mantener ocultos los términos de la seguridad de un programa, no es la mejor manera de protegerlo. Siempre hay personas escarbando en la red tratando de descubrir esos términos de seguridad. En el mismo instante en que sean descubiertos, todo el sistema va a quedar a su disposición. Lo mejor que se puede hacer, es procurar que la seguridad de todo el sistema no esté sujeta a ninguno de sus componentes en forma exclusiva o única.

    Cuando los términos de seguridad de un sistema son conocidos existe la posibilidad de que la comunidad de programadores ayude a su protección. ¿Cómo actúa esta comunidad? Accede al llamado “código fuente”, descubre vulnerabilidades y es capaz de crear respuestas que subsanen los problemas de seguridad que un sistema o software esté padeciendo.

    7. El manejo de los riesgos y la seguridad

    La seguridad en tu sistema informático es una necesidad relacionada con el detalle técnico llamado “manejo de riesgos”. Este detalle es equivalente de la relación costo-beneficios que trae un producto consigo. Quiere decir que debe haber un balance entre lo que pretendes proteger y el costo de la seguridad de protegerlo. De lo que se trata es de resguardarse de las amenazas más obvias y reducir los daños que pueda provocar un acceso irregular al sistema.

    En relación con los principios de seguridad en la información, el manejo de riesgos —como señalamos— debe ser proporcional a las medidas de seguridad. Esto implica reconocer el valor específico o general de tus activos y establecer medidas adecuadas para resarcirte de las posibles pérdidas. Existen dos condicionantes que permiten hacer una evaluación adecuada del nivel de riesgos

    • Consecuencias que traerían las pérdidas que sufras.
    • Posibilidades existentes de que se produzcan tales pérdidas.

    A partir del resultado de esta evaluación, estás en la disposición de tomar las medidas más pertinentes para resolver el dilema que se haya producido. El espectro de posibilidades va del riesgo máximo al riesgo mínimo y cualquiera de sus variantes requerirá de una respuesta específica: desde una acción regular o rutinaria hasta la toma de medidas urgentes de protección y resguardo de tu información.

    8. Modalidades de mecanismos de seguridad

    Los mecanismos de seguridad deben ser pensados y aplicados de acuerdo a tres criterios señalados más arriba: prevención, detección y contramedidas. Todo y cada mecanismo de seguridad debe estar enfocado en estos tres criterios: 

    • Prevenir una posible o potencial intervención externa.
    • Detectar una posible intervención que haya sido puesta en funcionamiento.
    • Responder a dicha intervención en el momento cuando se está efectuando o luego de su descubrimiento.

    Cada uno de estos mecanismos están constituidos como los instrumentos fundamentales para las personas que se dedican al tema de la seguridad informática. Son empleados en conjunto para procurar alcanzar las tres metas esenciales: la privacidad, la inmunidad y la disponibilidad de la información.

    La profesionalización de la seguridad en redes

    Una persona que se sienta atraída por el campo de la seguridad en redes, debe pensar en acercarse a los estudios de Máster en Ciberseguridad. Este tipo de formación se está convirtiendo en un oficio clave en relación con el mundo de la información virtual. Un estudio de esta envergadura hace posible que te empapes de la dinámica de los procedimientos determinantes para la salvaguarda de la información y los sistemas informáticos. Es totalmente seguro que te estarías involucrado en y con, una profesión que tiene todo el futuro de su lado.

    ¡Comparte!

    ¡Déjanos tu comentario!

    Escribe tu comentario aquí 👇

    Please enter your comment!
    Please enter your name here

    Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

    Te puede interesar 👇

    SOLICITA MÁS INFORMACIÓN

    Máster en Ciberseguridad

      RECIBE EN TU EMAIL:

      El precio y facilidades de pago.
      Postulación a la BECA 65% dcto.
      Complementos: Curso de idiomas GRATIS (Sólo por pago único) + Networking Profesional.

      Máster en Ciberseguridad

      El programa académico de Maestría en Ciberseguridad es de referencia internacional y es el más completo en su categoría con un 100% de empleabilidad.

      Sede principal: Costanilla de San Pedro, 2 28005, Madrid, España

      Ley de transparencia. Contacto Dirección Académica: abraham.lepe@ceupe.com

      Tambien te puede Interesar

      Máster en Big Data
      Máster en Ciberseguridad
      Máster en Data Science
      Máster en Energías Renovables
      Curso de Hacking Ético

      CEUPE | Centro Europeo de Postgrado

      Política de Privacidad