¿Qué es el CIA (Confidencialidad, Integridad, Disponibilidad) en la seguridad de la información?
Seguridad de la información
Cuando se habla de seguridad de la información, es importante conocer el termino CIA (Confidencialidad, Integridad, Disponibilidad), que presenta los principios básicos de la seguridad de la información.
Realizar una correcta gestión de la seguridad de la información establece como principio básico que sin los tres elementos mencionados no existe nada seguro, con que solo falle uno de los componentes nos encontramos ante un peligro para nuestra seguridad de la información. Para saber más sobre la norma ISO 27001 debe leer ISO 27001 ¿Cuáles son los requisitos de seguridad?.
Tenemos que recordar que ningún sistema de seguridad es completamente seguro, siempre debemos tener claro que un sistema es mucho más vulnerable de lo que pensamos. Es necesario que tengamos en cuenta las causas de los riesgos y la posibilidad de que ocurran fallos. Una vez que tenemos esto claro podemos tomar las medidas necesarias para tener un sistema para conseguir un sistema menos vulnerable.
A continuación aclaramos cada uno de los puntos que forman la CIA:
Confidencialidad
La confidencialidad se conoce como una forma de prevenir la divulgación de la información a personas o sistemas que no se encuentran autorizados.
Integridad
Cuando hablamos de integridad en seguridad de la información nos referimos a cómo los datos se mantienen intactos libre de modificaciones o alteraciones por terceros, cuando una violación modifica algo en la base de datos, sea por accidente o intencionado se pierde la integridad y falla el proceso.
Por este motivo se debe proteger la información para que sólo sea modificada por la misma persona, evitando así que se pierda la integridad. Una manera de proteger los datos es cifrando la información mediante un método de autenticidad como una contraseña o mediante huella digital.
Disponibilidad
Es un pilar fundamental de la seguridad de la información, nada hacemos teniendo segura e integra nuestra información, si no va a estar disponible cuando el usuario o sistema necesite realizar una consulta.
Para cumplir con la última condición tenemos que tener claro cuál será el flujo de datos que debemos manejar, para conocer donde se debe almacenar dicha información, que tipo de servicio debemos contratar, etc.
Consolidar una organización no sólo se relaciona con lo atractivos que sean sus productos y servicios, y de lo innovador de su tecnología. La seguridad de la información es un elemento fundamental cuando la actividad de la empresa se realiza mediante la web.
La seguridad de la información contempla la protección de la infraestructura y los dispositivos, también la información y la integridad física y moral de los usuarios que la proveen. Se ha creado diversos mecanismos, como la encriptación de datos, la creación de firewalls, detectores de hackers, simuladores de ataques informáticos, etc.
Hoy en día, existen diferentes empresas que se dedican a proveer de seguridad a otras empresas. Queremos presentarles algunos de los requisitos que debe cumplir la organización que presta estos servicios y de qué elementos se compone su sistema de seguridad.
Se provee de servicios de integración de seguridad y tecnología de la información divididos en tres áreas.
- Los servicios gestionados de seguridad, desde los que se administran y monitorean los sistemas de seguridad las 24 horas del día.
- Los servicios profesionales, que apoyan la consultoría de análisis de vulnerabilidades, las pruebas de penetración, la implantación de normativas y estándares.
- El área de tecnología e ingeniería, para diseñar, integrar y soportar soluciones tecnológicas de seguridad.
Si los clientes no cuentan con la infraestructura de seguridad necesaria, se le entregan las herramientas requeridas, como puede ser firewalls, detectores de intrusos, antispam, etc.
La seguridad tiene como objetivo resguardar la confidencialidad, integridad y disponibilidad de la información, por lo tanto, se tiene que aplicar de forma efectiva en toda la cadena. Los sistemas tradicionales de seguridad no son muy efectivos en entornos modernos de mucha movilidad, por lo cual se plantean arquitecturas basadas en cloud computing, siendo más efectiva, simple y económicas.
Puede ser que sea un proyecto puntual que se implemente en una semana, o un sistema de gestión de seguridad que puede llevar un año. La seguridad es un proceso continuo, por lo que no son medibles puntuales, son de largo aliente en el tiempo.
Todas las orgnizaciones deben velar por resguardar la seguridad de la información crítica. No hacerlo puede costarle muy caro en caso de que se produzca un incidente. Lo importante es que los riesgos de seguridad de la información sean gestionados. La recomendación es apoyarse en organizaciones especialistas que cuentan con la experiencia y conocimientos para hacerlo de forma adecuada.
Software ISO 27001
El estándar internacional ISO 27001, junto con todas las normas que componen su familia, generan todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información de una forma rápida y sencilla, además el Software ISOTools Excellence para ISO 27001 presta solución a todas estas cuestiones que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una empresa.