¿Qué es la seguridad de la información? – Definición y mejores prácticas

Publicado el 12 noviembre, 2020 por Rodrigo Ricardo

Seguridad de información

La seguridad de la información es la teoría y la práctica de permitir el acceso a la información únicamente a las personas de una organización que estén autorizadas a verla. Si bien esto incluye el acceso a la información contenida en las computadoras, el concepto es mucho más amplio que las computadoras y abarca todos los registros bajo el control de una organización.

El concepto se originó con la Agencia Central de Inteligencia de EE. UU. Como una forma de asegurarse de que los documentos estuvieran a salvo de ser alterados o accedidos por personas que se suponía que no podían obtenerlos, especialmente información clasificada.

Hay algunos principios básicos cuando se trata de seguridad de la información.

Confidencialidad

Uno de los primeros principios básicos es la confidencialidad . Esto simplemente significa que la información no está disponible para personas que no están autorizadas a verla. Por ejemplo, en muchas empresas la información sobre cuánto se les paga a los empleados se mantiene en secreto. Si un empleado accede a los registros de nómina y descubre cuánto se le pagó a un colega, sería una violación del principio de confidencialidad.

Integridad

La integridad en el contexto de la seguridad de la información significa que las personas pueden confiar en que la información de una organización no ha sido alterada de alguna manera. Por ejemplo, el departamento de contabilidad de una empresa debe asegurarse de que los datos de ventas, de gastos, etc. sean precisos para poder generar estados financieros trimestrales. Si se descubre que una empresa está falsificando datos financieros, podría tener serios problemas.

Disponibilidad

Disponibilidad significa que las personas autorizadas para ver datos pueden hacerlo cuando necesiten acceso. Dado que hay tanta información contenida en los sistemas informáticos, esto significa que los departamentos de TI deben asegurarse de que sus sistemas sean lo más fiables posible.

En las grandes organizaciones empresariales, las computadoras mainframe, con su confiabilidad y componentes redundantes, han sido durante mucho tiempo el estándar de oro para los sistemas de alta disponibilidad. Estas máquinas pueden funcionar durante años sin tener que desmontarlas para mantenimiento.

Mantener la seguridad de la información

Aunque todas las organizaciones en estos días almacenan datos en computadoras, la seguridad de la información no se ocupa estrictamente de ellos. La seguridad de la información es principalmente un fenómeno de gestión. Una buena seguridad de la información comienza desde arriba y se refleja en una buena política de TI. Las organizaciones no pueden esperar depender simplemente del departamento de TI para mantener la seguridad. Es realmente el deber de todos asegurarse de que la información, tanto pública como confidencial, permanezca segura y confiable.

La seguridad de la información eficaz significa decidir quién debe tener acceso a qué información. Una de las mejores prácticas es el principio de privilegio mínimo . Esto significa que las personas solo deberían tener acceso a la información que necesitan para hacer su trabajo y nada más.

Por ejemplo, un operador de servicio al cliente solo tendría acceso a la base de datos de clientes y no a la nómina. Un administrador de base de datos solo debe tener acceso al sistema de administración de la base de datos, y no al sistema operativo, mientras que sería al revés para un administrador del sistema.

Esto suena similar al principio de confidencialidad, pero con el principio de privilegio mínimo, el acceso de una persona cambia a medida que cambian sus responsabilidades a medida que avanza en una organización y se revocan por completo cuando se va.

Las organizaciones pueden hacer cumplir esto con todo, desde la configuración de permisos del sistema operativo hasta mantener los archivadores bajo llave y triturar documentos innecesarios. Es posible que los empleados tengan que usar llaves para acceder a ciertas áreas o incluso usar identificación biométrica para operaciones sensibles.

Resumen de la lección

La seguridad de la información es el proceso de asegurarse de que solo aquellos que tienen derecho a la información puedan acceder a ella. La confidencialidad significa limitar la información a las personas autorizadas. El principio de integridad significa que la información es precisa y la disponibilidad significa que los datos están disponibles para quienes los necesitan. El principio de privilegio mínimo significa que las personas solo tienen el acceso que necesitan y no más. Por ejemplo, un administrador del sistema debe tener acceso al sistema operativo, pero no al sistema de gestión de la base de datos. La seguridad significa más que sistemas informáticos seguros, sino un acceso seguro en general, incluido el acceso físico.

Articulos relacionados