La seguridad de la información es la protección de la información importante de una organización (archivos y datos digitales, documentos en papel, medios físicos y hasta discursos humanos) contra el acceso no autorizado, la divulgación, el uso o la alteración. La seguridad de la información digital, también denominada “seguridad de datos”, recibe la mayor atención por parte de los profesionales de seguridad de la información en la actualidad, y es el punto principal de este artículo.
Los datos impulsan gran parte de la economía mundial. Los delincuentes cibernéticos reconocen el valor de estos datos, y los ciberataques destinados a robar información confidencial (o, en el caso del ransomware, mantener los datos como rehenes) se han vuelto más comunes, dañinos y costosos. Según el “Informe del costo de una filtración de datos de 2021” de IBM, el costo total promedio de una filtración de datos alcanzó un nuevo máximo de 4.24 millones USD en 2020-2021.
Una filtración de datos afecta a las víctimas de varias maneras. El tiempo de inactividad inesperado genera pérdidas comerciales. A menudo, la empresa pierde clientes y sufre un daño significativo y, a veces, irreparable a su reputación cuando se expone la información confidencial de los clientes. La propiedad intelectual robada puede perjudicar la rentabilidad de una empresa y menoscabar su ventaja competitiva.
Una víctima de filtración de datos también puede enfrentar multas normativas o sanciones legales. Las normativas gubernamentales, como el Reglamento general de protección de datos (RGPD), y las normativas industriales, como la Ley de portabilidad y responsabilidad de seguros de salud (HIPAA), obligan a las empresas a proteger la información confidencial de sus clientes; si no lo hacen, pueden quedar sujetas a multas elevadas. Equifax acordó pagar al menos 575 millones de USD en multas a la Comisión Federal de Comercio (FTC), la Oficina para la Protección Financiera del Consumidor (CFPB) y a los 50 estados tras su filtración de datos de 2017; en octubre de 2021, British Airways recibió una multa de 26 millones de USD por infracciones al RGPD relacionadas con una filtración de datos en 2018.
Lógicamente, las empresas están invirtiendo más que nunca en tecnología y talento en seguridad de la información. Gartner estima que el gasto en seguridad de la información y gestión de riesgos, tecnología y servicios ascendió a 150 400 millones de USD en 2021, un aumento del 12.4 % con respecto al 2020. Los directores de seguridad de la información (CISO) que supervisan las actividades de esta área se han convertido en elementos fundamentales del equipo directivo. Además, está aumentando la demanda de analistas de seguridad de la información que tengan certificaciones avanzadas en este tema, como la certificación Certified Information Systems Security Professional (CISSP) de ISC². La Bureau of Labor Statistics proyecta que el empleo para los analistas que tengan estas certificaciones aumentará un 33 % para 2030.
La práctica de seguridad de la información tiene su base en principios que existen hace décadas y están en constante evolución, y que establecen estándares para la seguridad del sistema de información y la mitigación de riesgos.
La tríada CIA se introdujo en 1977 y tiene como objeto guiar la elección de tecnología, políticas y prácticas de las organizaciones para proteger sus sistemas de información: el hardware, el software y las personas involucradas en la producción, el almacenamiento, el uso y el intercambio de datos en la infraestructura de tecnología de la información (TI) de la empresa. Elementos de la tríada:
Confidencialidad: asegúrese de que las partes no puedan acceder a los datos para los que no tienen autorización. La confidencialidad define un espectro, desde personas con acceso privilegiado a gran parte de los datos de la empresa hasta personas externas autorizadas a ver solo la información que el público tiene autorización o permiso para ver.
Integridad: asegúrese de que toda la información incluida en las bases de datos de la empresa sea completa y precisa, y no haya sido manipulada. La integridad se aplica a todo, desde evitar que los adversarios modifiquen intencionalmente los datos hasta evitar que los usuarios bienintencionados modifiquen los datos de manera deliberada o involuntaria, y sin autorización.
Disponibilidad: asegúrese de que los usuarios puedan acceder a la información para la que tienen acceso cuando la necesiten. La disponibilidad establece que las medidas y políticas de seguridad de la información nunca deben interferir con el acceso autorizado a los datos.
El proceso continuo de lograr y mantener la confidencialidad, integridad y disponibilidad de los datos en un sistema de información se conoce como “seguridad de la información”.
Los profesionales en esta área aplican principios de seguridad a los sistemas de información mediante la creación de programas de seguridad de la información. Estas son recopilaciones de políticas, protecciones y planes destinados a aplicar la seguridad de la información.
Generalmente, la creación de un programa de seguridad de la información comienza con una evaluación del riesgo cibernético. Cuando se auditan todos los aspectos del sistema de información de una empresa, los profesionales de seguridad de la información pueden comprender el riesgo exacto al que se enfrentan y elegir las medidas de seguridad y la tecnología más adecuadas para mitigar los riesgos. Una evaluación de riesgos cibernéticos suele implicar lo siguiente:
Identificación de vulnerabilidades. Una vulnerabilidad es cualquier debilidad en la infraestructura de tecnología de la información (TI) que los adversarios pueden utilizar para obtener acceso no autorizado a los datos. Por ejemplo, los hackers pueden aprovechar errores en programas informáticos para introducir malware o código malicioso en una aplicación o servicio legítimo.
Los usuarios humanos también pueden generar vulnerabilidades en un sistema de información. Por ejemplo, los delincuentes cibernéticos pueden manipular a los usuarios para que compartan información confidencial mediante ataques de ingeniería social como el phishing.
A menudo, los profesionales de seguridad de la información emplean pruebas de penetración, un ataque simulado en su propio sistema de información, a fin de detectar estas vulnerabilidades.
Identificación de amenazas. Una amenaza es todo aquello que pueda comprometer la confidencialidad, integridad o disponibilidad de un sistema de información.
Una amenaza cibernética es aquella que utiliza una vulnerabilidad digital. Por ejemplo, un ataque de denegación de servicio (DoS) es una amenaza cibernética en la que los delincuentes cibernéticos saturan con tráfico parte del sistema de información de una empresa, lo cual genera una falla.
Las amenazas también pueden ser físicas. Los desastres naturales, los ataques físicos o armados, e incluso las fallas sistémicas de hardware se consideran amenazas para el sistema de información de una empresa.
IBM Data Security Services ayuda a las organizaciones con estrategias de seguridad de datos, descubrimiento de datos, prevención de pérdida de datos, gobernanza de seguridad de datos y monitoreo de seguridad de bases de datos.
IBM Application Security Services transforma DevOps en DevSecOps, ya que brinda capacitación en seguridad de aplicaciones, servicios de modelado de amenazas de aplicaciones y más.
Empiece a utilizar las soluciones de seguridad de datos de IBM