¿Qué es la Seguridad Informática? – Definición y conceptos básicos
Definición de seguridad informática
Si desea que una computadora esté perfectamente segura, puede llenarla con concreto y arrojarla al océano. Esto protegería cualquier información en la computadora del uso inapropiado. Desafortunadamente, la computadora quedaría completamente inutilizable, ¡así que probablemente no quieras hacer eso! Dado que desea usar su computadora y mantenerla segura, debe practicar una buena seguridad informática. La seguridad informática le permite usar la computadora mientras la mantiene a salvo de amenazas.
La seguridad informática se puede definir como los controles que se implementan para proporcionar confidencialidad, integridad y disponibilidad para todos los componentes de los sistemas informáticos. Estos componentes incluyen datos, software, hardware y firmware. Esta es una definición compleja. Ilustremos la definición mostrándole un día en la vida de Samantha, una gerente de seguridad recién contratada para una pequeña empresa. La empresa aún no tiene seguridad informática, por lo que sabe que debe comenzar con lo básico.
Componentes de Sistemas Informáticos
La primera tarea de Samantha es conocer los componentes de los sistemas informáticos que necesita proteger. Le pregunta al gerente de TI qué tipo de hardware, firmware y software usa la empresa.
- El hardware es la parte física de la computadora, como la memoria del sistema y la unidad de disco.
- El firmware es el software permanente que ejecuta los procesos de la computadora y en su mayoría es invisible para el usuario, como las funciones de inicio que hacen que los elementos del hardware funcionen juntos.
- El software es la programación que ofrece servicios al usuario y al administrador. El sistema operativo, el procesador de textos, los juegos de computadora y el navegador de Internet son ejemplos de software que se encuentran comúnmente en una computadora.
Aprender acerca de estos componentes le indica a Samantha qué hardware, software y firmware debe proteger. Todavía no sabe qué tipos de datos necesitará proteger, pero Samantha trabajará con personas de toda la empresa para saber qué información se almacena y procesa en los sistemas informáticos. Samantha sabe que tendrá que aprender qué datos son importantes para la empresa y tendrá que proteger su confidencialidad, integridad y disponibilidad.
La tríada de la CIA
Por motivos de confidencialidad , deberá asegurarse de que la información esté disponible solo para la audiencia prevista. Esa confidencialidad incluye la privacidad de la información que puede ser personal y delicada. La protección de la integridad de los datos también es una preocupación. La empresa necesita la certeza de que la información no se vuelva inexacta debido a cambios no deseados. Finalmente, trabajará con el administrador de TI para proteger la disponibilidad de los datos , o la capacidad de las personas autorizadas para acceder a la computadora y su información cuando sea necesario. La protección de estas cualidades es su principal objetivo como gerente de seguridad. Estas cualidades se denominan la tríada CIA.
Controles de seguridad informática
En un lenguaje sencillo, la seguridad informática consiste en asegurarse de que la información y los componentes de la computadora se puedan usar, pero aún así estén protegidos de personas y software que no deberían acceder a ellos ni modificarlos. La protección proviene de controles o elecciones técnicas, físicas y de procedimiento que limitan el acceso a los componentes de la computadora.
Samantha sabe que los controles para la seguridad de la computadora podrían incluir protección contra virus, gabinetes de computadora cerrados con llave y revisión periódica de las personas con acceso a la computadora. Tendrá que elegir cuidadosamente los controles de seguridad informática para alinear el acceso de usuario necesario con la cantidad mínima de capacidad innecesaria.
Samantha pasa sus primeras semanas como gerente de seguridad aprendiendo sobre los sistemas informáticos, los datos y las necesidades de seguridad de su empresa. Aprende sobre la función que realiza cada departamento y las formas en que usan las computadoras. Cuando comprende el uso de la tecnología por parte de la empresa, está lista para comenzar a agregar controles de seguridad informática para la empresa.
Selección de controles apropiados
Entonces, ¿cómo puede Samantha comenzar a implementar la seguridad informática? Primero, Samantha considera las amenazas a las computadoras y la tríada de la CIA de sus datos. Estas amenazas la ayudan a determinar qué controles son necesarios para proteger el sistema informático y sus datos.
También deberá determinar otros controles necesarios que dicten las leyes aplicables a la información. Por ejemplo, la información de la tarjeta de crédito debe protegerse de acuerdo con las reglas de los estándares de la industria de tarjetas de pago. Parte de la información médica personal debe protegerse de acuerdo con las reglas de la Ley de Portabilidad y Responsabilidad del Seguro Médico.
Una vez que conoce las amenazas, Samantha toma decisiones de seguridad de acuerdo con la dificultad y el costo de implementarlas. También puede elegir un control en función de la cantidad de amenaza que puede prevenir. Ella elige comenzar con controles que son simples de implementar y económicos, como protección antivirus y actualizaciones de seguridad de software.
Samantha sabe que todas las empresas necesitan este tipo de seguridad y evitan algunos dolores de cabeza de seguridad muy grandes. También considera controles más estrictos que podrían ser útiles para proteger información muy privada pero cuestan más o son difíciles de implementar, y toma nota para investigar si son necesarios para su empresa.
Samantha también elabora un cronograma para probar los controles de seguridad de la computadora cuando se instalan. Ella ha tenido malas experiencias en el pasado donde la instalación del software de protección antivirus falló y nadie se dio cuenta. En otro lugar de trabajo, ¡el gerente de TI de hecho desactivó las actualizaciones de seguridad automáticas!
A partir de estas experiencias, ella sabe que las medidas de seguridad informática deben probarse cuando se implementan para asegurarse de que funcionan y luego volver a probarse periódicamente para determinar si todavía están implementadas y funcionan correctamente. Esto se denomina auditoría de los controles de seguridad, y su programa de auditoría es una forma de mantener la seguridad en su lugar a medida que cambia un sistema informático a lo largo de su ciclo de vida.
Samantha pasa dos meses implementando controles básicos de seguridad informática en toda la empresa y elaborando un programa de auditoría. Hay otros tipos de seguridad que cree que serían una buena idea, por lo que toma un marcador para su pizarra y comienza a pensar en las mejores opciones para su presupuesto.
Resumen de la lección
Revisemos. La seguridad informática es el proceso de asegurarse de que todas las partes de un sistema informático estén protegidas adecuadamente y, sin embargo, sigan cumpliendo su propósito. La seguridad informática requiere una comprensión del uso del sistema y los requisitos de confidencialidad , integridad y disponibilidad . Cuando se entienden estas cualidades, se pueden elegir controles para cumplir con los requisitos legales y de protección para el sistema informático. Para mantener el sistema seguro, los equipos de seguridad deben realizar pruebas periódicas de los controles instalados.
Articulos relacionados
- Teoría Oceanica Poblacional: Conceptos y Aplicaciones
- Abordar los conceptos erróneos en la ciencia
- Capa de Transporte del Modelo OSI: Funciones, Seguridad y Protocolo
- Seguridad de los Datos: Amenazas, soluciones y gestión
- Seguridad agrícola: consejos y estadísticas
- Arrhenius: conceptos y propiedades de ácidos y bases
- Problemas y soluciones de seguridad de redes inalámbricas
- Tipos de Ataques en Seguridad de Redes
- Problemas de seguridad con las redes Ad-Hoc móviles
- Historia de la Seguridad de la Información