Inicio
Temas
Seguridad de la información
Actualizado: 26 de julio de 2024
Colaboradores: Jim Holdsworth y Matthew Kosinski
La seguridad de la información (InfoSec) es la protección de la información importante contra el acceso, la divulgación, el uso, la alteración o la interrupción no autorizados. Ayuda a garantizar que los datos confidenciales de la organización estén disponibles para los usuarios autorizados, permanezcan confidenciales y mantengan su integridad.
Necesitamos proteger los activos de información, que pueden incluir datos financieros, confidenciales, personales o sensibles. Estos activos pueden ser archivos y datos digitales, documentos en papel, medios físicos e incluso habla humana. A lo largo del ciclo de vida de los datos, la InfoSec monitorea las funciones como la infraestructura, el software, las pruebas, la auditoría y el archivado.
La seguridad de la información tiene su base en principios que existen hace décadas y evoluciona continuamente para proteger entornos multinubes y cada vez más híbridos de un escenario de amenazas en constante cambio. Debido a la naturaleza cambiante de estas amenazas, varios equipos deben trabajar juntos para actualizar tanto la tecnología como los procesos que se utilizan en esta protección.
La seguridad de la información digital, también denominada seguridad de datos, recibe la mayor atención por parte de los profesionales de seguridad de la información en la actualidad, y es el punto principal de este artículo.
Los términos seguridad de la información, seguridad informática, ciberseguridad y la seguridad de los datos se usan a menudo (y erróneamente) indistintamente. Si bien estos campos se superponen y se informan entre sí, difieren principalmente en su alcance.
La seguridad de la información es un término general que engloba los procesos de una organización por proteger la información. Incluye seguridad física de activos de TI, seguridad de endpoints, cifrado de datos, seguridad de red y más.
La seguridad de TI también se ocupa de proteger los activos de TI físicos y digitales y los centros de datos, pero no incluye la protección para el almacenamiento de archivos en papel y otros medios. Se centra en los activos tecnológicos más que en la información en sí.
La ciberseguridad se centra en proteger los sistemas de información digital. El objetivo es ayudar a proteger los datos y activos digitales de las amenazas cibernéticas. Si bien es una tarea enorme, la ciberseguridad tiene un alcance limitado, ya que no se preocupa por proteger los datos en papel o analógicos.
La seguridad de los datos es la práctica de proteger la información digital del acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida. Incluye la seguridad física del hardware y los dispositivos de almacenamiento, junto con controles administrativos y de acceso. También cubre la seguridad lógica de las aplicaciones de software y las políticas y procedimientos organizacionales.
Prepárese y responda a los ciberataques con mayor velocidad y eficacia con el IBM Security X-Force Threat Intelligence Index.
Los datos impulsan gran parte de la economía mundial y los delincuentes cibernéticos reconocen su valor. Los ciberataques que tienen como objetivo robar información confidencial (o, en el caso del ransomware, tomar datos como rehenes) se volvieron más comunes, dañinos y costosos. Las prácticas y principios de InfoSec pueden ayudar a proteger los datos frente a estas amenazas.
Según el Informe del costo de una filtración de datos de IBM, el costo total promedio de una filtración de datos alcanzó un nuevo máximo de 4.45 millones USD en 2023. Esta cifra representa un aumento del 15.3 % con respecto a los 3,86 millones de dólares del reporte de 2020.
Una filtración de datos afecta a las víctimas de varias maneras.. El tiempo de inactividad inesperado genera pérdidas comerciales. A menudo, la empresa pierde clientes y sufre un daño significativo y, a veces, irreparable a su reputación cuando se expone la información confidencial de los clientes. La propiedad intelectual robada puede perjudicar la rentabilidad de una empresa y menoscabar su ventaja competitiva.
Una víctima de filtración de datos también puede enfrentar multas normativas o sanciones legales. Las normativas gubernamentales, como el Reglamento General de Protección de Datos (RGPD), y las normativas del sector, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), obligan a las empresas a proteger la información sensible de sus clientes. De lo contrario, se pueden imponer fuertes multas.
Las empresas están invirtiendo más que nunca en tecnología de seguridad de la información y talento. Según el Informe del costo de una filtración de datos, el 51 % de las organizaciones planea aumentar las inversiones en seguridad luego de una filtración.
Las áreas principales identificadas para realizar inversiones adicionales incluyeron: planificación y pruebas de respuesta a incidentes (IR), capacitación de los empleados y tecnologías para la detección de amenazas y de respuesta ante estas. Las organizaciones que hicieron grandes inversiones en IA de seguridad y automatización informaron 1.76 millones de dólares menores en costos de filtración de datos en comparación con las organizaciones que no habían utilizado IA de seguridad y capacidades de automatización.
Los directores de seguridad de la información (CISO) que supervisan las actividades de esta área se han convertido en elementos fundamentales del equipo directivo.
Está aumentando la demanda de analistas de seguridad de la información que tengan certificaciones avanzadas en este tema, como la certificación Certified Information Systems Security Professional (CISSP) de ISC2. La Oficina de Estadísticas Laborales proyecta que el empleo de analistas de seguridad de la información crecerá un 32 % para 2032.1
Las prácticas de seguridad de la información se basan en un conjunto de principios de décadas de antigüedad y en constante evolución:
- La tríada CIA
- Aseguramiento de la información
- No repudio
Sugerida por primera vez por el Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. en 1977, la tríada CIA tiene como objetivo guiar a las organizaciones en la elección de tecnologías, políticas y prácticas para proteger sus sistemas de información. Los elementos de la tríada de la CIA incluyen:
- Confidencialidad
- Integridad
- Disponibilidad
Confidencialidad significa garantizar que las partes no puedan acceder a datos a los que no están autorizados a acceder.
La confidencialidad define un espectro de usuarios, desde usuarios internos con acceso privilegiado a gran parte de los datos de la empresa hasta personas externas autorizadas a ver solo la información que el público tiene autorización o permiso para ver.
La información personal debe permanecer privada. Los datos sensibles son sensibles. Si una persona no autorizada obtiene una contraseña de datos protegidos, se trataría de una violación de la confidencialidad.
Integridad significa asegurar que toda la información contenida en las bases de datos de la empresa sea completa y precisa.
Los procesos de integridad tienen como objetivo evitar que las personas manipulen los datos, por ejemplo, mediante adiciones, alteraciones o eliminaciones no autorizadas. La integridad de los datos se aplica para prevenir tanto a los adversarios que alteran los datos intencionalmente como a los usuarios bien intencionados que alteran los datos de manera no autorizada.
Disponibilidad significa asegurarse de que los usuarios puedan acceder a la información para la que tienen acceso cuando la necesiten.
La disponibilidad establece que las medidas y políticas de seguridad de la información no deben interferir con el acceso autorizado a los datos. Gran parte de la disponibilidad es sencilla, como trabajar para garantizar la solidez del hardware y el software para evitar que sufran caídas los sitios de una organización.
El proceso continuo de lograr la confidencialidad, integridad y disponibilidad de los datos en un sistema de información se conoce como “seguridad de la información”.
El no repudio significa que un usuario no puede negar (es decir, repudiar) realizar una transacción, como alterar datos o enviar un mensaje, porque en primer lugar el usuario necesitaba aprobar la autenticación para realizar la transacción.
Si bien técnicamente el no repudio no forma parte de la tríada de CIA, sí combina aspectos de confidencialidad e integridad de la información. El no repudio implica asegurar que únicamente los usuarios autorizados trabajen con datos y que solo puedan usar o modificar datos de manera autorizada.
Los profesionales en esta área aplican principios de seguridad a los sistemas de información mediante la creación de programas de seguridad de la información. Estas son recopilaciones de políticas, protecciones y planes destinados a aplicar la seguridad de la información.
Los componentes centrales de un programa de seguridad de la información pueden incluir:
- Evaluación de riesgos
- Identificación de vulnerabilidades
- Identificación de amenazas
- Planeación de la respuesta a incidentes
Una evaluación de riesgos de seguridad de la información audita todos los aspectos del sistema de información de una empresa. La evaluación ayuda a los profesionales de seguridad de la información a comprender los riesgos exactos que enfrentan y elegir las medidas de seguridady tecnologías más adecuadas para mitigar los riesgos.
Una vulnerabilidad es cualquier debilidad en la infraestructura de tecnología de la información (TI) que los adversarios podrían explotar para obtener acceso no autorizado a los datos. Por ejemplo, los hackers pueden aprovechar errores en programas informáticos para introducir malware o código malicioso en una aplicación o servicio legítimo.
Los usuarios humanos también pueden generar vulnerabilidades en un sistema de información. Por ejemplo, los delincuentes cibernéticos pueden manipular a los usuarios para que compartan información confidencial mediante ataques de ingeniería social como el phishing.
Una amenaza es todo aquello que pueda comprometer la confidencialidad, integridad o disponibilidad de un sistema de información.
Una amenaza cibernética es aquella que utiliza una vulnerabilidad digital. Por ejemplo, un ataque de denegación de servicio (DoS) es una amenaza cibernética en la que los delincuentes cibernéticos saturan con tráfico parte del sistema de información de una empresa, lo cual genera una falla.
Las amenazas también pueden ser físicas. Los desastres naturales, los ataques físicos o armados, e incluso las fallas sistémicas de hardware se consideran amenazas para el sistema de información de una empresa.
Un plan de respuesta ante incidentes (IRP) suele guiar los esfuerzos de una organización para responder ante incidentes.
Los equipos de respuesta ante incidentes de seguridad informática (CSIRT) a menudo crean y ejecutan IRP con la participación de los stakeholders de toda la organización. Los miembros del CSIRT pueden incluir el director de seguridad de la información (CISO), el director de IA (CAIO), el centro de operaciones de seguridad (SOC), el personal de TI y representantes de las disciplinas legales, de gestión de riesgos y otras disciplinas no técnicas.
Los IRP detallan las medidas de mitigación que toma una organización cuando se detecta una amenaza significativa. Aunque los IRP varían en función de las organizaciones que los elaboran y de las amenazas a las que se dirigen, los pasos comunes incluyen:
- Formar el equipo de seguridad, virtualmente o en persona.
- Verificar el origen de la amenaza.
- Actuar para contener la amenaza y detenerla lo antes posible.
- Determinar qué daño, si hubo alguno, ocurrió.
- Notificar a los stakeholders dentro de la organización, los stakeholders y los socios estratégicos.
Los programas de seguridad de la información usan varias herramientas y técnicas diferentes para abordar amenazas específicas. Entre las herramientas y técnicas comunes de InfoSec se incluyen:
- Criptografía
- Prevención de pérdida de datos (DLP)
- Detección y respuesta de endpoint (EDR)
- Cortafuegos
- Sistemas de detección de intrusiones (IDS) y prevención de intrusiones (IPS)
- Information security management systems (ISMS, por sus siglas en inglés)
- Información de seguridad y gestión de eventos (SIEM)
- Centros de operaciones de seguridad (SOC)
- Medidas de autenticación estables
- Inteligencia en materia de amenazas
- Análisis del comportamiento de usuarios y entidades (UEBA)
La criptografía utiliza algoritmos para ocultar la información a fin de que solo las personas con el permiso y la capacidad de descifrarla puedan leerla.
Las estrategias y herramientas de DLP rastrean el uso y el movimiento de datos a lo largo de una red y ponen en práctica políticas de seguridad granulares para ayudar a prevenir fugas y pérdidas de datos.
Las soluciones EDR monitorean continuamente archivos y aplicaciones en cada dispositivo, buscando actividad sospechosa o maliciosa que indique malware, ransomware o amenazas avanzadas.
Un cortafuegos es un software o hardware que impide que el tráfico sospechoso entre o salga de una red, al tiempo que permite el paso del tráfico legítimo. Los cortafuegos se pueden implementar en los bordes de una red o utilizar internamente para dividir una red más grande en subredes más pequeñas. Si una parte de la red se ve comprometida, se bloquea el acceso de los piratas informáticos al resto.
Un IDS es una herramienta de seguridad de red que monitorea el tráfico de red entrante y los dispositivos en busca de actividades sospechosas o violaciones de la política de seguridad. Un IPS monitorea el tráfico de red en busca de amenazas potenciales y las bloquea automáticamente. Muchas organizaciones emplean un sistema combinado llamado sistema de detección y prevención de intrusiones (IDPS).
Un ISMS incluye pautas y procesos que ayudan a las organizaciones a proteger sus datos confidenciales y responder a una filtración de datos. Tener pautas establecidas también ayuda con la continuidad si hay una gran rotación de personal. ISO/IEC 27001 es un ISMS ampliamente utilizado.
Los sistemas SIEM ayudan a detectar anomalías en el comportamiento de los usuarios y usan inteligencia artificial (IA) para automatizar muchos de los procesos manuales asociados con la detección de amenazas y la respuesta ante incidentes.
Un SOC unifica y coordina todas las tecnologías y operaciones de ciberseguridad bajo un equipo de profesionales de seguridad de TI dedicados a monitorear la seguridad de la infraestructura de TI las 24 horas del día.
La autenticación de dos factores (2FA) y la autenticación multifactor (MFA) son métodos de verificación de identidad en los que los usuarios deben proporcionar múltiples pruebas para probar su identidad y obtener acceso a recursos confidenciales.
La inteligencia de amenazas ayuda a los equipos de seguridad a ser más proactivos, lo que les permite tomar medidas eficaces basadas en datos para prevenir los ciberataques antes de que ocurran.
UEBA es un tipo de software de seguridad que usa análisis de comportamiento y algoritmos de machine learning para identificar comportamientos anormales y potencialmente peligrosos de usuarios y dispositivos.
Las organizaciones se enfrentan a una larga lista de posibles amenazas a la seguridad de la información.
- Ataques cibernéticos
- Error de un empleado
- Seguridad endpoint ineficaz
- Amenazas internas
- Errores de configuración
- Ingeniería social
Estos ataques pueden intentar comprometer los datos de una organización desde cualquier dirección, incluidos ataques de amenazas persistentes avanzadas (APT) , botnets (redes de robots), denegación distribuida del servicio (DDoS), ataques de descarga “ocultos” (que descargan código malicioso automáticamente), malware, phishing, ransomware, virus y gusanos.
Las personas pueden perder equipamiento móvil cargado con información confidencial, visitar sitios web peligrosos en equipos de la empresa o usar contraseñas fáciles de descifrar.
Cualquier computadora portátil, dispositivo móvil o PC puede ser un punto de entrada al sistema de TI de una organización en ausencia de soluciones antivirus o de seguridad endpoint adecuadas.
Hay dos tipos de amenazas internas
- Los usuarios internos maliciosos son empleados, socios u otros usuarios autorizados que ponen en peligro intencionadamente la información de una organización para su beneficio personal o por venganza.
- Los usuarios internos negligentes son usuarios autorizados que comprometen involuntariamente la seguridad al no seguir las mejores prácticas de seguridad.
Según el informe del Índice X-Force Threat Intelligence , el 32 % de los incidentes de seguridad implican un uso malicioso de herramientas legítimas. Los incidentes incluyen robo de credenciales, reconocimiento, acceso remoto y exfiltración de datos.
Las organizaciones confían en diversas plataformas y herramientas de TI, incluidas opciones de almacenamiento de datos basadas en la nube, infraestructura como servicio (IaaS), integraciones de software como servicio (SaaS) y aplicaciones sitio web de varios proveedores. Una configuración incorrecta de cualquiera de estos activos puede representar riesgos para la seguridad.
Además, los cambios internos o del proveedor pueden conducir a una “deriva de configuración”, donde las configuraciones válidas quedan desactualizadas.
El X-Force Threat Intelligence Index informó que durante las pruebas de penetración , el riesgo de aplicación sitio web más observado en los entornos de los clientes fue la mala configuración de la seguridad, que representa el 30 % del total.
Los ataques de ingeniería social engañan a los empleados para que divulguen información confidencial o contraseñas que abren la puerta a actos maliciosos.
También puede ocurrir que, al intentar promocionar una organización a través de las redes sociales, los empleados divulguen por error demasiada información personal o empresarial que puedan aprovechar los atacantes.
Los beneficios de un programa sólido de InfoSec pueden ayudar a los equipos de organizaciones enteras:
- Continuidad de negocio
- Cumplimiento normativo
- Ahorro de costos
- Mayor eficiencia
- Protección de la reputación
- Reducción de riesgos
La información comercial crítica se puede proteger y almacenar de manera más efectiva para que esté disponible al momento de restablecer luego de un incidente de seguridad.
Las regulaciones en materia de privacidad y protección de datos , como HIPAA y PCI-DSS, a menudo exigen la protección de información confidencial. La seguridad de la información ayuda a garantizar el cumplimiento normativo y reducir la responsabilidad legal o la posibilidad de multas.
Un sistema de seguridad de nivel empresarial permite a las organizaciones tener medidas adecuadas para diferentes niveles de datos, con la posibilidad de evitar gastos excesivos en seguridad para datos menos confidenciales.
Los empleados son más capaces de manejar la información de manera adecuada cuando los datos están etiquetados más claramente por su confidencialidad y cuando hay procesos más seguros establecidos.
Las violaciones de seguridad son malas para el negocio. Puede haber un costo inmediato en materia de incidentes de seguridad, pero también una pérdida de confianza pública.
Con planes de respuesta a incidentes y un sistema implementado, las medidas de seguridad de la información pueden ayudar a prevenir incidentes de seguridad y ciberataques, como violaciones de datos y amenazas de denegación del servicio (DoS).
Se pueden aplicar medidas de autenticación para ayudar a proteger los datos personales y organizacionales confidenciales, incluidos los secretos financieros y comerciales. Los planes de recuperación ante desastres pueden estar listos para una recuperación más rápida de los incidentes de seguridad.
Además de las amenazas directas a la seguridad de la información, las organizaciones enfrentan múltiples desafíos al crear y administrar una estrategia y un sistema de InfoSec sólidos.
- Autosuficiencia
- Complejidad
- Conexiones globales
- Inflexibilidad
- Integración de terceros
Con un nuevo sistema implementado, puede haber una tendencia a alejar, satisfecho de que la tarea esté hecha. Pero las técnicas de piratería informática se perfeccionan continuamente para seguir el ritmo de las nuevas medidas de seguridad. El mantenimiento y la tarea de proteger los datos rara vez están completos, y se necesitan mejoras constantes en los controles de seguridad.
El entorno tecnológico en constante cambio requiere un sistema sofisticado y un equipo de TI que esté completamente actualizado para administrar esos sistemas cada vez más complejos. Esto incluye el intercambio seguro de información con el Internet de las Cosas (IoT) y todos los dispositivos móviles.
La complejidad puede generar una pérdida de tiempo: algunos equipos de TI descubren que su principal esfuerzo consiste en reconfigurar y mantener continuamente su sistema de seguridad.
Las empresas de todo el mundo pueden utilizar diferentes sistemas informáticos, tener diferentes niveles de seguridad de la información y trabajar conforme a diferentes regulaciones. Todo esto hace que el intercambio seguro de datos a nivel mundial sea cada vez más difícil.
El bloqueo de toda la información podría detener todo el progreso del negocio. El difícil equilibrio es tener un flujo de datos constructivo dentro de una organización y, al mismo tiempo, mantener los datos seguros dentro de la organización y emplearlos adecuadamente.
Dependiendo de su nivel de seguridad, la integración de sistemas de información con un proveedor externo u otro socio comercial podría resultar difícil o crear nuevos riesgos de seguridad.
Proteja los datos en nubes híbridas y simplifique los requisitos de cumplimiento
Protección integral y crítica para datos, aplicaciones e IA empresariales
Soluciones de ciberseguridad impulsadas por IA que evolucionan con su empresa.
Descubra cómo está cambiando el panorama de seguridad actual y cómo superar los desafíos aprovechando la resiliencia de la IA generativa.
Cuanto más sepan los equipos de seguridad sobre los diferentes tipos de amenazas de ciberseguridad, podrán prevenir los ciberataques y responder con mayor eficacia.
La seguridad de los datos es la práctica de proteger la información digital del acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida.
Notas de pie de página
1 Occupational Outlook Handbook: Information Security Analysts (enlace externo a ibm.com), US Bureau of Labor Statistics, 17 de abril de 2024.