Principales parámetros básicos de la Seguridad de TIC

 

Los parámetros básicos de la seguridad de TIC (Tecnologías de la Información y Comunicación) se centran en la protección de la información y los sistemas ante amenazas, y se basan en los principios de confidencialidad, integridad, disponibilidad, autenticación, autorización y no repudio. Estos principios garantizan que la información sea segura, accesible solo para usuarios autorizados, y que no haya posibilidad de falsificar o negar una acción realizada. 

Los principios que se desarrollan a continuación son un conjunto de protocolos y medidas destinados a reducir los riesgos ante cualquier problema informático que suceda. También, a detectar y a prevenir posibles amenazas y, lógicamente, a la recuperación del sistema en el caso de que se produzca algún fallo o incidencia. La aplicación de estos principios será la mayor salvaguarda con la que contarás para proteger a tu compañía ante cualquier eventual ciberataque.

Confidencialidad

            La confidencialidad es el principio que garantiza que a la información solo pueden acceder las personas que dispongan de autorización, la cual se basa en la necesidad de conocer los datos necesarios para el desempeño de la actividad laboral. La autorización tiene que emitirse para los siguientes tipos de información:

·         Información almacenada tanto en soporte digital (repositorios o servidores) como físico (documentos en papel).

·         Información en tránsito. Es la que se transmite a través de Internet o en soportes digitales de datos (pendrives, por ejemplo) o la que se transporta físicamente de un lugar a otro.

            Linformación almacenada puede ser de una amplia variedad. Entre esta podemos destacar la legal (datos personales, patentes, etc.) o de valor y sensible (estrategias de la empresa, por ejemplo). Tiene que ser confidencial y protegida contra accesos no autorizados. Se pueden establecer las siguientes medidas de seguridad:

·         Control de acceso físico. Los accesos a las instalaciones donde se almacena la información digital o física tienen que estar restringidos. Para ello, se pueden instalar puertas con lectores de tarjeta, huella o armarios con cerraduras.

·         Acceso lógico. La red y los sistemas que almacenan la información tienen que estar completamente protegidos para que las personas autorizadas puedan acceder a ellos. Para ello, se puede emplear mecanismos de login o esquemas de permisos.

  • Cifrado. Con este sistema, la información solo será accesible a las personas que dispongan de permisos o autorizaciones concretas y específicas.

            En cuanto a la información en tránsito, el objetivo principal es que aquellos datos que viajan a través de la red pública sean protegidos de tal forma que, si son interceptados por los atacantes, no sean legibles. El sistema que mejor garantiza esta protección es el cifrado.

            Los datos personales son los más sensibles y los que más deben estar protegidos ante terceros. Además, estos tienen diferentes niveles de sensibilidad según su tipología (ideología, orientación sexual, etc.). Las medidas para garantizar su protección son muy variadas. Para ello, hay que estar muy atento a la normativa sobre protección de datos en España. Podemos destacar las siguientes normas: el RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).

Disponibilidad

            La dependencia de la información y del área de TI hace que las empresas tengan que desarrollar estrategias que aseguren que la información siempre esté disponible cuando sea necesario.
            La disponibilidad es la característica que asegura la fiabilidad y el acceso oportuno a los datos y recursos por parte de personas autorizadas para ello. No obstante, este acceso tendrá que estar relacionado con su actividad laboral.

            Ahora bien, ¿cómo conseguir la disponibilidad de la información? Los datos se almacenan en los dispositivos de red (router, por ejemplo) o en los equipos de TI (servidores, cabinas de discos, etc.). Estos medios deben proveer la información adecuada y de una forma eficiente cuando sea requerida. Además, tienen que recuperarse de interrupciones de una forma fácil y rápida.

¿Qué medidas de seguridad puedes implementar en tu empresa?

·         Elaboración de imágenes de discos.

·         Copias de seguridad de la información.

·         Balanceo de carga entre máquinas y sistemas.

·         Coubicación de las instalaciones internas y externas.

·         Implementación de sistemas en clúster.

·         Desarrollo de sistemas RAID de discos.

         Durante los últimos años se han producido ataques cibernéticos a numerosas empresas que han impedido que funcionen con normalidad durante un largo periodo de tiempo. Por ello, la contratación de perfiles expertos en ciberseguridad es imprescindible.

Autenticación

            La autenticación es otra de las medidas de seguridad que ya están implantando las empresas en sus políticas. Además, los gobiernos de todo el mundo también se han implicado en este pilar para proteger los sistemas de información públicos.

            Se puede definir como el proceso de validar la identidad de un servidor o de un usuario en concreto antes de facilitarle el permiso correspondiente para acceder a los datos. Los clientes, normalmente, usan como un método de autenticación el clásico nombre de usuario y contraseña o tokens. En cambio, los servidores usan certificados para validar a terceros que sean confiables.

            No obstante, creemos que los tokens y certificados no son tan conocidos. Por ello, te animamos a que continúes leyendo para saber más.

            Un token es un método de autenticación que se basa en solicitudes que se alcanzan mediante la presentación de una determinada información firmada. Se parece al funcionamiento de una tarjeta de embarque cuando se sube a un avión.

            Los certificados digitales son documentos electrónicos que tienen como objetivo demostrar la propiedad de una clave privada. Además, este tipo de certificado también incluye la firma electrónica, que da fe de la autenticidad del contenido. En España, los certificados digitales se usan para relacionarse con la administración pública (pago de multas, solicitud de subvenciones, etc.). Con respecto a la seguridad de la información, es de máximo interés el estudio que se publicó en abril de 2020 sobre ciberseguridad y confianza del ciudadano en la red.

 Integridad

            La integridad hace referencia al último de los pilares de la política de seguridad de la información de una compañía. La podemos definir como la máxima garantía de exactitud y fiabilidad de los datos que estén almacenados en los sistemas de la empresa.
            Para conseguir la integridad de la información, se tienen que limitar los permisos de los usuarios sobre los datos que se necesite proteger. Además, los sistemas que soportan esta información tienen que ser los mínimos. Se recomienda que los archivos que sean críticos estén totalmente ocultos y su acceso sea muy limitado.

            Para garantizar la integridad de la información se tiene un amplio repertorio de medidas a aplicar por parte de los profesionales correspondientes:

·         Desarrollo de algoritmos para que los datos no puedan ser modificados.

·         Gestión de la configuración de los sistemas para afianzar que no han sido cambiados sin la autorización correspondiente.

·         Desarrollo y gestión de los cambios necesarios para asegurar la integridad de todos los procesos que se desarrollan en la compañía.

·         Firma digital de toda la documentación. Para ello, existen numerosas compañías que tienen entre sus servicios la implementación de métodos de firma digital.

·         Desarrollo de todo tipo de controles (físicos y digitales) para acceder a cualquier recurso de la compañía.

            La integridad de los datos garantiza la exactitud de los transportados o almacenados. Para ello, hay que asegurarse de que no han sido manipulados, perdidos o destruidos, ni accidentales ni intencionadamente.

    Principales parámetros básicos de la Seguridad de TIC
























Comentarios

Publicar un comentario

Entradas más populares de este blog

¿Qué es un Sistema de Gestión de la Seguridad?

Imagen
       Sistema de Gestión de la Seguridad de TIC      En el mundo actual, donde la mayoría de los procesos están relacionados directamente con las nuevas tecnologías de la información y la comunicación, la seguridad se ha convertido en un asunto clave.         Debido al gran flujo de información que se genera día a día y que circula por la red de manera automática, cada vez son más las empresas que se preocupan por mantener sus datos a salvo e implementar todas las medidas necesarias para lograrlo. ¿Qué es un SGSI?        Los Sistemas de Gestión de Seguridad Informática son básicamente una  reunión de políticas que se aplican para la administración de la información .      Este término viene del inglés Information Security Management System (ISMS), y se utilizó por el sistema ISO/IEC 27001, que es la norma estandarizada internacional que fue aprobada en oc...
Leer más

Actividad 4. NORMA COBIT 5.0

Imagen
    COBIT 5, es un marco de referencia para la gobernanza y gestión de la tecnología de la información (TI) que proporciona un enfoque integral para ayudar a las organizaciones a alcanzar sus objetivos estratégicos. A continuación, se presenta un análisis detallado de sus características, beneficios, limitaciones y su aplicación en las organizaciones. Se caracteriza por: 1) Principales Enfoque en Gobernanza y Gestión : COBIT 5 integra la gobernanza y la gestión de TI, asegurando que las decisiones sobre TI estén alineadas con los objetivos del negocio 2) Modelo de Procesos : Define un conjunto de procesos que abarcan desde la planificación y organización hasta la entrega y soporte, así como la supervisión y evaluación. 3) Marco de Buenas Prácticas: Proporciona un conjunto de buenas prácticas y directrices que pueden ser adaptadas a...
Leer más