La seguridad de la información, o "InfoSec", es la protección de la información importante de una organización (archivos y datos digitales, documentos en papel, soportes físicos e incluso la voz humana) contra el acceso, la divulgación, el uso o la alteración no autorizados. La seguridad de la información digital, también llamada seguridad de datos, es la que más atención recibe actualmente por parte de los profesionales de la seguridad de la información, y es en la que nos centraremos en este artículo.
Los datos mueven gran parte de la economía mundial. Los ciberdelincuentes son conscientes del valor que tienen estos datos y sus ciberataques que tienen por objetivo robar información confidencial (o, en el caso del ransomware, secuestrar los datos) se han vuelto más comunes, dañinos y costosos. Según el informe "Coste de una filtración de datos" de 2021 de IBM, el coste total promedio de una vulnerabilidad de datos alcanzó un nuevo máximo de 4,24 millones de dólares entre 2020 y 2021.
Las vulneraciones de datos afectan a su víctima de muchas maneras. El tiempo de inactividad inesperado se traduce en pérdidas de negocios. Cuando la información confidencial de sus clientes queda expuesta, las empresas atacadas suelen perder clientes y sufrir daños significativos e incluso irreparables en su reputación. La propiedad intelectual robada puede perjudicar la rentabilidad de una empresa y erosionar su ventaja competitiva.
Las víctimas de las vulnerabilidades de datos también pueden tener que hacer frente a multas y sanciones. Las normativas gubernamentales, como el Reglamento General de Protección de Datos (RGPD), y las normativas sectoriales, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), obligan a las empresas a proteger la información confidencial de sus clientes; no hacerlo puede acarrear cuantiosas multas. Equifax acordó pagar al menos 575 millones de dólares en multas a la Comisión Federal de Comercio (FTC), a la Oficina para la Protección Financiera del Consumidor (CFPB) y a todos los 50 estados de EE. UU. como resultado de su vulneración de datos de 2017. En octubre de 2021, British Airways recibió una multa de 26 millones de dólares por violaciones del RGPD relacionadas con una vulneración de datos de 2018.
No en vano, las empresas están invirtiendo más que nunca en tecnología y talento para reforzar la seguridad de la información. Gartner estima que el gasto en seguridad de la información y gestión de riesgos, tecnología y servicios ascendió a 150 400 millones de dólares en 2021, un aumento del 12,4 % con respecto a 2020. Los directores de seguridad de la información (CISO), que supervisan los avances en seguridad de la información, se han convertido en un miembro fijo del equipo directivo de las empresas. Y también está aumentando la demanda de analistas de seguridad de la información que posean certificaciones avanzadas de seguridad de la información, como la certificación Certified Information Systems Security Professional (CISSP) de (ISC)². La Oficina de Estadísticas Laborales de EE. UU. proyecta que el empleo de estos analistas con dichas certificaciones crecerá un 33 % de aquí a 2030.
En la práctica, la seguridad de la información se remontan a décadas atrás y que se encuentran en constante evolución, los cuales establecen normas para la seguridad de los sistemas de información y la mitigación de riesgos.
La tríada CID, presentada en 1977, tiene como objetivo guiar a las organizaciones en la elección de tecnologías, políticas y prácticas para proteger sus sistemas de información: el hardware, el software y las personas involucradas en producir, almacenar, usar e intercambiar datos dentro de la infraestructura de tecnología de la información (TI) de la empresa. La tríada se compone de estos elementos:
Confidencialidad: asegúrese de que ninguna persona pueda acceder a datos para los que no tiene autorización. La confidencialidad abarca todos los niveles, desde los usuarios privilegiados internos con acceso a gran parte de los datos de la empresa, hasta las personas externas autorizadas a ver solo la información que el público está autorizado a ver.
Integridad: asegúrese de que toda la información contenida en las bases de datos de la empresa sea completa y precisa, y que no haya sido manipulada. La integridad se aplica a todo, desde impedir que los adversarios alteren datos intencionalmente hasta evitar que usuarios bien intencionados alteren datos de forma consciente o involuntaria sin autorización.
Disponibilidad: asegúrese de que los usuarios puedan acceder a la información a la que están autorizados cuando la necesiten. La disponibilidad dicta que las medidas y políticas de seguridad de la información nunca deben interferir con el acceso autorizado a los datos.
El proceso continuo de lograr y mantener la confidencialidad, integridad y disponibilidad de los datos dentro de un sistema de información se conoce como "aseguramiento de la información".
Los expertos en seguridad de la información aplican los principios de seguridad de la información a los sistemas de información mediante la creación de programas de seguridad de la información. Se trata de conjuntos de políticas, protecciones y planes de seguridad de la información destinados a asegurar la información.
La creación de un programa de seguridad de la información suele comenzar con una evaluación de los riesgos cibernéticos. Al auditar todos los aspectos del sistema de información de una empresa, los expertos en seguridad de la información pueden comprender el riesgo exacto al que se enfrentan y elegir las medidas de seguridad y la tecnología más adecuadas para mitigar los riesgos. Una evaluación de riesgos cibernéticos suele constar de los siguientes pasos:
Identificación de vulnerabilidades. Una vulnerabilidad es cualquier debilidad en la infraestructura de la tecnología de la información (TI) que los adversarios pueden explotar para obtener acceso no autorizado a los datos. Por ejemplo, los piratas informáticos pueden aprovecharse de fallos en programas informáticos para introducir malware o código malicioso en una aplicación o servicio que de otro modo sería legítimo.
Los usuarios humanos también pueden suponer un factor de vulnerabilidad en un sistema de información. Por ejemplo, los ciberdelincuentes pueden manipular a los usuarios para que compartan información confidencial mediante ataques de ingeniería social como el phishing.
Los expertos en seguridad de la información suelen emplear pruebas de penetración, un ataque simulado a su propio sistema de información, para detectar estas vulnerabilidades.
Identificación de amenazas. Una amenaza es cualquier cosa que pueda comprometer la confidencialidad, integridad o disponibilidad de un sistema de información.
Una ciberamenaza es una amenaza que explota una vulnerabilidad digital. Por ejemplo, un ataque de denegación de servicio (DoS) es una ciberamenaza en la que un ciberdelincuente satura con tráfico parte del sistema de información de una empresa, lo que provoca su caída.
Las amenazas también pueden ser físicas. Las catástrofes naturales, las agresiones físicas o armadas e incluso los fallos sistémicos del hardware constituyen amenazas para el sistema de información de una empresa.
IBM® Data Security Services ayuda a las organizaciones con su estrategia de seguridad de datos, detección de datos, prevención de pérdida de datos, gobernanza de la seguridad de datos y monitorización de la seguridad de bases de datos.
IBM® Application Security Services transforma DevOps en DevSecOps brindando formación en seguridad de aplicaciones, servicios de modelado de amenazas de aplicaciones y más.
Primeros pasos con las soluciones de seguridad de datos de IBM