¿Qué es la seguridad de la información (InfoSec)?

Necesitamos proteger los activos de información, que pueden incluir datos financieros, confidenciales, personales o sensibles. Estos activos pueden tener la forma de archivos y datos digitales, documentos en papel, medios físicos e incluso habla humana. A lo largo del ciclo de vida de los datos, InfoSec supervisa funciones como la infraestructura, el software, las pruebas, la auditoría y el archivado.

Basada en principios de décadas de antigüedad, la seguridad de la información evoluciona continuamente para proteger entornos cada vez más híbridos y multinube en un panorama de amenazas en constante cambio. Dada la naturaleza cambiante de estas amenazas, varios equipos deben trabajar juntos para actualizar tanto la tecnología como los procesos utilizados en esta defensa.

La seguridad de la información digital, también llamada seguridad de datos, es la que más atención recibe actualmente por parte de los profesionales de la seguridad de la información, y es en la que nos centraremos en este artículo.

Los términos seguridad de la información, seguridad de TI, ciberseguridad y seguridad de datos se utilizan a menudo (y por error) indistintamente. Aunque estos campos se solapan y se nutren mutuamente, difieren sobre todo en su ámbito de aplicación.

• La seguridad de la información es un término general que abarca los esfuerzos de una organización para proteger la información. Incluye seguridad de activos de TI físicos, seguridad de endpoints, cifrado de datos, seguridad de red y más.

• La seguridad de TI también se ocupa de proteger los activos informáticos físicos y digitales y los centros de datos, pero no incluye la protección del almacenamiento de archivos en papel y otros soportes. Se centra en los activos tecnológicos más que en la información en sí.

• Laciberseguridad se centra en la seguridad de los sistemas de información digital. El objetivo es ayudar a proteger los datos y activos digitales de las ciberamenazas. Aunque se trata de una empresa enorme, la ciberseguridad tiene un alcance limitado, ya que no se ocupa de proteger los datos en papel o analógicos.

• La seguridad de datos es la práctica de proteger la información digital contra el acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida. Incluye la seguridad física del hardware y los dispositivos de almacenamiento, junto con los controles administrativos y de acceso. También abarca la seguridad lógica de las aplicaciones informáticas, las políticas y procedimientos organizativos.

Los datos impulsan gran parte de la economía mundial y los ciberdelincuentes reconocen su valor. Los ciberataques que tienen como objetivo robar información confidencial (o, en el caso del ransomware, tomar datos como rehenes) se han vuelto más comunes, dañinos y costosos. Las prácticas y principios de InfoSec pueden ayudar a proteger los datos frente a estas amenazas.

Según el informe Cost of a Data Breach de IBM, el coste total medio de una vulneración de datos es de 4,44 millones de dólares.

Las vulneraciones de datos afectan a su víctima de muchas maneras. El tiempo de inactividad inesperado se traduce en pérdidas de negocios. Cuando la información confidencial de sus clientes queda expuesta, las empresas atacadas suelen perder clientes y sufrir daños significativos e incluso irreparables en su reputación. La propiedad intelectual robada puede perjudicar la rentabilidad de una empresa y erosionar su ventaja competitiva.

Las víctimas de las vulnerabilidades de datos también pueden tener que hacer frente a multas y sanciones. Las normativas gubernamentales, como el Reglamento General de Protección de Datos (RGPD), y las normativas del sector, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), obligan a las empresas a proteger la información confidencial de sus clientes. No hacerlo puede acarrear fuertes multas.

Las empresas están invirtiendo en tecnología de seguridad de la información y talento. Según el Informe "Cost of a Data Breach", el 51 % de las organizaciones tiene previsto aumentar las inversiones en seguridad tras una vulneración.

Las principales áreas identificadas para inversiones adicionales incluyen la planificación y las pruebas de respuesta a incidentes, las herramientas de seguridad de datos y las tecnologías de detección y respuesta a amenazas. Las organizaciones que realizaron grandes inversiones en IA de seguridad y automatización informaron de unos costes de vulneración de datos de 820 000 USD inferiores a la media.

Los directores de seguridad de la información (CISO) que supervisan los avances en seguridad de la información se han convertido en un miembro fijo del equipo directivo de las empresas.

Está aumentando la demanda de analistas de seguridad de la información que posean certificaciones avanzadas de seguridad de la información, como la certificación Certified Information Systems Security Professional (CISSP) de ISC2. La Oficina de Estadísticas de Trabajo prevé que el empleo de analistas de seguridad de la información crecerá un 32 % de aquí a 2032.¹

Las prácticas de seguridad de la información se basan en un conjunto de principios en constante evolución desde hace décadas:

• La tríada CID
• Aseguramiento de la información
• No repudio

Sugerida por primera vez por el Instituto Nacional de Estándares y Tecnología (NIST) en 1977, la tríada CIA pretende guiar a las organizaciones en la elección de tecnologías, políticas y prácticas para proteger sus sistemas de información. Los elementos de la tríada de la CIA incluyen:

• Confidencialidad
• Integridad
• Disponibilidad

Confidencialidad significa garantizar que las partes no puedan acceder a datos a los que no están autorizadas a acceder.

La confidencialidad define un continuo de usuarios, desde los internos privilegiados con acceso a gran parte de los datos de la empresa hasta los externos autorizados a ver sólo la información que el público está autorizado a ver.

La información personal debe permanecer privada. Los datos sensibles son sensibles. Si una persona no autorizada obtiene una contraseña para los datos protegidos, se trataría de una violación de la confidencialidad.

Integridad significa garantizar que toda la información contenida en las bases de datos de la empresa sea completa y precisa.

Los esfuerzos de integridad tienen como objetivo evitar que las personas manipulen los datos, por ejemplo, mediante adiciones, alteraciones o eliminaciones no autorizadas. La integridad de los datos se aplica a la prevención tanto de adversarios que alteran intencionadamente los datos como de usuarios bienintencionados que alteran los datos de forma no autorizada.

Disponibilidad significa asegurarse de que los usuarios puedan acceder a la información a la que están autorizados autorizados a acceder.

La disponibilidad dicta que las medidas y políticas de seguridad de la información no deben interferir con el acceso autorizado a los datos. Gran parte de la disponibilidad es sencilla; por ejemplo, hay que trabajar para garantizar la solidez del hardware y el software para evitar que los sitios de una organización dejen de funcionar.

El proceso continuo de lograr la confidencialidad, integridad y disponibilidad de los datos dentro de un sistema de información se conoce como "aseguramiento de la información".

No repudio significa que un usuario no puede negar (es decir, repudiar) haber realizado una transacción, como modificar datos o enviar un mensaje, porque el usuario tuvo que pasar la autenticación para realizar la transacción en primer lugar.

Aunque técnicamente no forma parte de la tríada de la CIA, el no repudio combina aspectos de confidencialidad e integridad de la información. El no repudio implica garantizar que solo los usuarios autorizados trabajen con datos y que solo puedan usar o modificar datos de formas autorizadas.

Los profesionales de la seguridad de la información aplican los principios de InfoSec a los sistemas de información mediante la creación de programas de seguridad de la información. Se trata de conjuntos de políticas, protecciones y planes de seguridad de la información destinados a asegurar la información.

Los componentes principales de un programa de seguridad de la información pueden incluir:

• Evaluación de riesgos
• Identificación de vulnerabilidades
• Identificación de amenazas.
• Planificación de la respuesta a incidentes

Una evaluación de riesgos de la seguridad de la información audita cada aspecto del sistema de información de una empresa. La evaluación ayuda a los profesionales de la seguridad de la información a entender los riesgos exactos a los que se enfrentan y a elegir las medidas de seguridad y tecnologías más adecuadas para mitigar los riesgos.

Una vulnerabilidad es cualquier debilidad en la infraestructura de la información (TI) que los adversarios pueden explotar para obtener acceso no autorizado a los datos. Por ejemplo, los hackers pueden beneficiarse de los errores de un programa informático para introducir malware o código malicioso en una aplicación legítima.

Los usuarios humanos también pueden suponer un factor de vulnerabilidad en un sistema de información. Por ejemplo, los ciberdelincuentes manipulan a los usuarios para que compartan información confidencial mediante ataques de ingeniería social como el phishing.

Una amenaza es cualquier cosa que pueda comprometer la confidencialidad, integridad o disponibilidad de un sistema de información. 

Una ciberamenaza es una amenaza que explota una vulnerabilidad digital. Por ejemplo, un ataque de denegación de servicio (DoS) es una ciberamenaza en la que un ciberdelincuente satura con tráfico parte del sistema de información de una empresa, lo que provoca su caída. 

Las amenazas también pueden ser físicas. Las catástrofes naturales, las agresiones físicas o armadas e incluso los fallos sistémicos del hardware se consideran amenazas para el sistema de información de una empresa.

Un plan de respuesta a incidentes (IRP) suele guiar los esfuerzos de una organización para responder a los incidentes.

Los equipos de respuesta a incidentes de seguridad informática (CSIRT) suelen crear y ejecutar los IRP con la participación de las partes interesadas de toda la organización. Entre los miembros del CSIRT podrían figurar el director de seguridad de la información (CISO), el director de IA (CAIO), el centro de operaciones de seguridad (SOC), el personal de TI y representantes de los ámbitos jurídico, de gestión de riesgos y de otras disciplinas no técnicas.

Los IRP detallan las medidas de mitigación que toma una organización cuando se detecta una amenaza importante. Aunque los IRP varían en función de las organizaciones que los elaboran y de las amenazas a las que se dirigen, los pasos comunes incluyen:

• Reunir al equipo de seguridad, virtualmente o en persona.
  
  
• Verificar el origen de la amenaza.
  
  
• Actuar para contener la amenaza y detenerla lo antes posible.
  
  
• Determinar qué daño se ha producido, si es que se ha producido alguno.
  
  
• Notificar a las partes interesadas de la organización, a las partes interesadas y a los partners estratégicos.

Los programas de seguridad de la información utilizan varias herramientas y técnicas diferentes para abordar amenazas específicas. Las herramientas y técnicas comunes de InfoSec incluyen:

• Criptografía
• Prevención de pérdida de datos (DLP).
• Ejecución y detección de endpoints (EDR)
• Cortafuegos
• Sistemas de detección de intrusiones (IDS) y prevención de intrusiones (IPS)
• Sistemas de gestión de seguridad de la información (SGSI)
• Gestión de información y eventos de seguridad (SIEM)
• Centros de operaciones de seguridad (SOC)
• Medidas de autenticación sólidas
• Inteligencia de amenazas
  
• Análisis del comportamiento de usuarios y entidades (UEBA)

La criptografía utiliza algoritmos para ocultar la información de modo que solo las personas con el permiso y la capacidad de descifrarla puedan leerla.

Las estrategias y herramientas de DLP rastrean el uso y el movimiento de datos a través de una red y aplican políticas de seguridad granulares para ayudar a prevenir fugas y pérdidas de datos.

Las soluciones EDR monitorizan continuamente archivos y aplicaciones en cada dispositivo, buscando actividad sospechosa o maliciosa que indique malware, ransomware o amenazas avanzadas.

Un firewall es un software o hardware que impide que el tráfico sospechoso entre o salga de una red, al tiempo que permite el paso del tráfico legítimo. Los cortafuegos pueden implementarse en el edge de una red o utilizarse de forma interna para dividir una red más grande en subredes más pequeñas. Si una parte de la red se ve comprometida, se bloquea el acceso de los hackers al resto.

Un IDS es una herramienta de seguridad de red que monitoriza el tráfico de red entrante y los dispositivos en busca de actividades sospechosas o violaciones de políticas de seguridad. Un IPS monitoriza el tráfico de red en busca de posibles amenazas y las bloquea automáticamente. Muchas organizaciones utilizan un sistema combinado llamado sistema de detección y prevención de intrusiones (IDPS).

Un SGSI incluye directrices y procesos que ayudan a las organizaciones a proteger sus datos confidenciales y a responder a una violación de datos. Disponer de directrices también ayuda a la continuidad si hay una rotación importante de personal. ISO/IEC 27001 es un SGSI ampliamente utilizado.

Los sistemas SIEM ayudan a los equipos de seguridad empresarial a detectar anomalías en el comportamiento de los usuarios y a utilizar la inteligencia artificial (IA) para automatizar muchos de los procesos manuales asociados con la detección de amenazas y la respuesta ante incidentes.

Un SOC unifica y coordina todas las tecnologías y operaciones de ciberseguridad bajo un equipo de profesionales de seguridad de TI dedicados a monitorizar la seguridad de la infraestructura de TI las 24 horas del día.

La autenticación de dos factores (2FA) y la autenticación multifactor (MFA) son métodos de verificación de identidad en los que los usuarios deben proporcionar varias pruebas para demostrar sus identidades y obtener acceso a recursos confidenciales.

La inteligencia de amenazas ayuda a los equipos de seguridad a ser más proactivos, lo que les permite tomar medidas efectivas basadas en datos para prevenir los ciberataques antes de que ocurran.

UEBA es un tipo de software de seguridad que utiliza análisis de comportamiento y algoritmos de machine learning para identificar comportamientos anómalos y potencialmente peligrosos de usuarios y dispositivos.

Las organizaciones se enfrentan a una larga lista de amenazas potenciales para la seguridad de la información.

• Ciberataques
• Error del empleado
• Seguridad de endpoints ineficaz
• Amenazas internas
• Configuración incorrecta
• Ingeniería social

Estos ataques pueden intentar poner en peligro los datos de una organización desde cualquier número de direcciones, incluyendo ataques de amenazas persistentes avanzadas (APT), botnets (redes robóticas), denegación de servicio distribuido (DDoS), ataques de descarga de "drive-by" (que descargan código malicioso de manera automática), malware, phishing, ransomware, virus y gusanos.

Las personas pueden perder equipos móviles cargados de información confidencial, visitar sitios web peligrosos en los equipos de la empresa o usar contraseñas fáciles de descifrar.

Cualquier portátil, dispositivo móvil u ordenador puede ser un punto de entrada al sistema de TI de una organización si no hay soluciones antivirus o de seguridad de endpoints adecuadas.

Hay dos tipos de amenazas internas.

• Los usuarios internos negligentes son empleados, socios u otros usuarios autorizados que comprometen intencionadamente la información de una organización para beneficio personal o por despecho.
  
  
• Los usuarios internos maliciosos son usuarios autorizados que comprometen involuntariamente la seguridad al no seguir las mejores prácticas de seguridad.
  

Según el informe X-Force Threat Intelligence Index , un número significativo de incidentes de seguridad implican el uso malicioso de herramientas legítimas. Los incidentes incluyen robo de credenciales, reconocimiento, acceso remoto y exfiltración de datos.

Las organizaciones confían en varias plataformas y herramientas de TI, incluidas opciones de almacenamiento de datos basadas en la nube, infraestructura como servicio (IaaS), integraciones de software como servicio (SaaS) y aplicaciones web de varios proveedores. Las configuraciones incorrectas de cualquiera de estos activos pueden plantear riesgos de seguridad.

Además, los cambios internos o del proveedor pueden generar una “desviación de configuración”, donde las configuraciones válidas quedan desactualizadas.

El X-Force Threat Intelligence Index señaló que, durante las pruebas de penetración, el riesgo de aplicaciones web más observado en los entornos de cliente era la mala configuración de seguridad, lo que representa el 30 % del total.

Los ataques de ingeniería social engañan a los empleados para que divulguen información sensible o contraseñas que abren la puerta a actos maliciosos.

También puede ocurrir que, al intentar promocionar una organización a través de los medios sociales, los empleados divulguen por error demasiada información personal o empresarial que pueda ser utilizada por los atacantes.

Los beneficios de un sólido programa de InfoSec pueden ayudar a los equipos de organizaciones enteras:

• Continuidad del negocio
• Conformidad
• Ahorro de costes
• Mayor eficiencia
• Protección de la reputación
• Reducción de riesgos

Además de las amenazas directas a la seguridad de la información, las organizaciones se enfrentan a múltiples retos a la hora de crear y gestionar una estrategia y un sistema de seguridad de la información sólidos.

• Complacencia
• Complejidad
• Conexiones globales
• Inflexibilidad
• Integraciones de terceros

Con un nuevo sistema en marcha, puede haber una tendencia a alejarse, satisfechos de que la tarea está hecha. Pero las técnicas de piratería se perfeccionan continuamente para mantenerse al día con las nuevas medidas de seguridad. El mantenimiento y la tarea de proteger los datos rara vez se completan y se necesitan mejoras constantes en los controles de seguridad.

El entorno tecnológico en constante cambio requiere un sistema sofisticado y un equipo de TI que esté completamente actualizado para administrar esos sistemas cada vez más complejos. Esto incluye el intercambio seguro de información con el Internet de las cosas (IoT) y todos los dispositivos móviles.

La complejidad puede suponer una pérdida de tiempo: algunos equipos informáticos se dan cuenta de que su principal esfuerzo consiste en reconfigurar y mantener continuamente su sistema de seguridad.

Las empresas de todo el mundo pueden utilizar diferentes sistemas informáticos, tener diferentes niveles de seguridad de la información y trabajar bajo diferentes regulaciones. Todo esto dificulta cada vez más el intercambio seguro de datos a nivel mundial.

El bloqueo de toda la información podría detener todo el progreso del negocio. Lo difícil es encontrar el equilibrio entre un flujo de datos constructivo dentro de una organización, la seguridad de los datos dentro de la organización y el uso adecuado de los mismos.

Según su nivel de seguridad, integrar los sistemas de información con un proveedor externo u otro Business Partner puede resultar difícil o crear nuevos riesgos de seguridad.