Desde los inicios de la comunicación las personas han necesitado mantener la información segura y privada. En tiempos antiguos se crearon técnicas de cifrado simples, para garantizar la confidencialidad. Pero con el tiempo, las tecnologías avanzan, al igual que las demandas de seguridad.
Los pilares de la seguridad de la información – CIA
La seguridad no es un producto – Es un proceso constante, que se desarrolla alrededor de los criterios fundamentales de la seguridad (CIA, por sus siglas en inglés):
- Confidencialidad: Proteger la información para que solo los usuarios autorizados puedan acceder a ella.
- Integridad: Asegurar que la información no haya sido alterada y son genuinos.
- Disponibilidad: Protección contra interrupciones de acceso a la información.
Derivado de estos criterios, surge el no repudio, con la cual se busca que el emisor o el receptor de un mensaje no pueda negar que envió o recibió dicho menaje.
Los controles que permitan garantizar el cumplimento de los criterios expuestos, van desde de procesos de gestión de acceso e identidad, mecanismos de cifrado (criptografía), procedimientos y elementos de redundancia y restablecimiento de los datos y los sistemas de información, actividades de auditoria (Registro de eventos), concientización y entrenamiento, entre otros, pero sobre todo de un fuerte apoyo por parte de la generencia de la organización. Esta se verá reflejada a través de la implementación de una fuerte, sencilla y efectiva, política y procedimientos de seguridad de la información en la organización.
Es importante destacar que cuando un atacante no es capaz de vulnerar los criterios de confidencialidad e integridad, intentara realizar una denegación sobre el servicio.
Seguridad de la información vs ciberseguridad
Los términos «ciberseguridad» y «seguridad de la información» a menudo se usan indistintamente, pero en realidad, la ciberseguridad es una parte de la seguridad de la información. Más específicamente, la ciberseguridad se puede definir como la protección de los activos de información abordando las amenazas a la información procesada, almacenada y transportada por los sistemas de información interconectados.
La ciberseguridad no incluye riesgos naturales, errores personales o seguridad física, que son tratados por la seguridad de la información.
Podríamos decir que la ciberseguridad busca velar por la disponibilidad, integridad y confidencialidad, de los sistemas de información interconectados en el ciber espacio, cuando se presenten ataques, accidentes o fallos. Con el propósito de proteger las operaciones y los activos de información de las organizaciones.
Pero esta definición se queda corta, el objetivo fundamental, es el de proteger a las personas y sus derechos fundamentales en el ciber espacio:
La ciber seguridad es la preservación a través de políticas, tecnologías y educación, de la disponibilidad, confidencialidad e integridad de la información y la infraestructura subyacente, para mejorar la seguridad de las personas en el ciber espacio. Esten o no en línea.
Freedom online coalition
Cyber security vs cyber safety
Ambos términos tienen la misma traducción al español, pero tienen significados distintos.
Cyber Security
- «La capacidad de proteger o defender el uso del ciberespacio de los ciberataques.» NIST.
- «La protección de los activos de información al abordar las amenazas a la información procesada, almacenada y transportada por sistemas de información interconectados» ISACA.
Cyber Safety
- “Es la necesidad de garantizar que las personas involucradas con la empresa, incluidos los empleados, clientes y visitantes, estén protegidas contra daños.” – ISACA
- “Condición de protección contra daños físicos, sociales, espirituales, financieros, políticos, emocionales, ocupacionales, psicológicos, educativos o de otro tipo, o consecuencias de fallas, daños, errores, accidentes, daños o cualquier otro evento en el Ciberespacio que pueda considerarse no deseable” – Cn-Cert:
La defensa en profundidad
El mundo digital es extenso, y no existe un método único para proteger con éxito todos los posibles tipos de ataque. Por ello es importante tener una visión holística de todos los posibles mecanismos de protección de la información que mejor se ajuste a las necesidades de las organizaciones.
La defensa en profundidad (Defence in Depth – DiD, por sus siglas en ingles), es un enfoque de seguridad en el cual se superponen una serie de mecanismos de seguridad, a modo de capas, para proteger la información. Este modelo también conocido como “castle approatch”, crea redundancia intencional, de forma que, si uno de los mecanismos de protección falla, existe otro para frenar el ataque.
¿Por dónde empezar?
Existen diferentes marcos de trabajo (Frameworks), que nos sirven como estándares internacionales para implementar mecanismos de defensa en profundidad. Algunos de ellos más tácticos otros más estratégicos, varios enfocados a cierto tipo de servicios. Aunque algunos describen estrategias para priorizar la ejecución de los mecanismos de seguridad, dependerá de la necesidad de la organización definir el orden en el cual estos se aplican.
Algunos de los estandares mas relevantes de seguridad de la información: