La seguridad de la información constituye el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.

Tal como señala Wikipedia, el concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la cultura del mismo.

En la seguridad de la información es importante señalar que su manejo está basado en la tecnología y debemos de saber que puede ser confidencial: la información está centralizada y puede tener un alto valor.

Puede ser divulgada, mal utilizada, ser robada, borrada o saboteada. Esto afecta su disponibilidad y la pone en riesgo.

La información es poder, y según las posibilidades estratégicas que ofrece tener acceso a cierta información, ésta se clasifica como:

a). Crítica: Es indispensable para la operación de la empresa

b). Valiosa: Es un activo de la empresa y muy valioso.

c). Sensible: Debe de ser conocida por las personas autorizadas

Existen dos palabras muy importantes que son riesgo y seguridad:

a). Riesgo: Es la materialización de vulnerabilidades identificadas, asociadas con su probabilidad de ocurrencia, amenazas expuestas, así como el impacto negativo que ocasione a las operaciones de negocio.

b). Seguridad: Es una forma de protección contra los riesgos.

La seguridad de la información comprende diversos aspectos entre ellos la disponibilidad, comunicación, identificación de problemas, análisis de riesgos, la integridad, confidencialidad, recuperación de los riesgos.

Precisamente la reducción o eliminación de riesgos asociado a una cierta información es el objeto de la seguridad de la información y la seguridad informática. Más concretamente, la seguridad de la información tiene como objeto los sistemas el acceso, uso, divulgación, interrupción o destrucción no autorizada de información.

Los términos seguridad de la información, seguridad informática y garantía de la información son usados frecuentemente como sinónimos porque todos ellos persiguen una misma finalidad al proteger la confidencialidad, integridad y disponibilidad de la información.

Sin embargo, no son exactamente lo mismo existiendo algunas diferencias sutiles. Estas diferencias radican principalmente en el enfoque, las metodologías utilizadas, y las zonas de concentración.

IMPLEMENTACIÓN DE ESTRATEGIAS

Además, la seguridad de la información involucra la implementación de estrategias que cubran los procesos en donde la información es el activo primordial.

Estas estrategias deben tener como punto primordial el establecimiento de políticas, controles de seguridad, tecnologías y procedimientos para detectar amenazas que puedan explotar vulnerabilidades y que pongan en riesgo dicho activo, es decir, que ayuden a proteger y salvaguardar tanto información como los sistemas que la almacenan y administran.

La seguridad de la información incumbe a gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas con información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera.

En caso de que la información confidencial de una empresa, sus clientes, sus decisiones, su estado financiero o nueva línea de productos caigan en manos de un competidor; se vuelva pública de forma no autorizada, podría ser causa de la pérdida de credibilidad de los clientes, pérdida de negocios, demandas legales o incluso la quiebra de la misma

Se ha señalado que desde hace ya algunos años la información está definida como el activo más valioso de una compañía (los costes derivados de pérdida de seguridad no son sólo costes económicos directos, sino que también afectan a la imagen de la empresa), por lo que, cada vez más, la seguridad de la información forma parte de los objetivos de las organizaciones y, sin embargo, y a pesar de esa concienciación generalizada, muchas compañías no se enfrentan a este aspecto con la globalidad con la que debiera tratarse.

Además de esta falta de visión global, existe otro factor que afecta a la estrategia de seguridad de una organización: la dispersión de las inversiones de seguridad en múltiples nichos desalineados con el objetivo global, de modo que la focalización en cuestiones concretas de seguridad hace olvidar el objetivo estratégico.

Cuando una empresa define la seguridad de la información como prioridad, estableciendo medidas que ayuden a conseguirla, de manera inmediata se plantea la necesidad de instalar mecanismos, llamémosles físicos, que permitan controlar los riesgos asociados a la seguridad más inmediata.

OBJETIVO DE LA SEGURIDAD

La Seguridad de la Información, por tanto, según afirma AEC, tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

La seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia. Podemos entender como seguridad un estado de cualquier sistema o tipo de información (informático o no) que nos indica que ese sistema o información está libre de peligro, daño o riesgo. Se entiende como peligro o daño todo aquello que pueda afectar a su funcionamiento directo o a los resultados que se obtienen.

La Seguridad de la Información tiene como fin la protección de la información y de los sistemas de la información del acceso, uso, divulgación, interrupción o destrucción no autorizada.

Conviene aclarar que la seguridad absoluta no es posible, no existe un sistema 100 por ciento seguro, de forma que el elemento de riesgo está siempre presente, independiente de las medidas que tomemos, por lo que se debe hablar de niveles de seguridad.

No obstante ello, en la práctica, según pone de manifiesto TicBeat el año 2015 fue un año proclive a la producción de quiebras en la seguridad de la información, pues se produjeron múltiples brechas o fugas de información, que tuvieron una repercusión mediática ciertamente relevante. Entre otras, y como ejemplos más conocidos y relevantes de supuestos de brechas de ciberseguridad, deben destacarse por su importancia las siguientes:

a). Ashley Madison: 37 millones de infieles expuestos.

El portal de citas para personas casadas Ashley Madison vio como este año se hacían públicos los datos e identidad de nada menos que 37 millones de sus usuarios, para los cuales la privacidad era algo clave. Una brecha de seguridad proporcionó acceso no autorizado a un grupo de hackers a información de los usuarios y trabajadores del sitio.

b). T-Mobile.

Hasta 15 millones de personas, muchos de ellos clientes de la operadora T-Mobile, una de las más importantes de Estados Unidos, se vieron afectadas este 2015 por una brecha de seguridad que se ha producido en los servidores de Experian, una multinacional de información crediticia con la que trabaja dicha compañía telefónica.

c). El ‘bug’ en los ordenadores de Dell.

Desde el pasado mes de agosto, algunos modelos de PC del fabricante Dell incluían un fallo de fábrica que permitiría a los hackers interceptar el tráfico encriptado que desde ellos se hacía en la red. Así lo aseguró Joe Nord, un investigador especializado en ciberseguridad, que fue el encargado de poner de relieve este problema.

d). Ni los niños están a salvo.

En este 2015 también constatamos que las ciberamenazas no distinguen de edad. Así, el fabricante de juguetes educativos para niños Vtech informó este año que había sufrido un acceso no autorizado a su base de datos, en el que habían quedado expuestos los datos personales de 4,9 millones de clientes adultos y 6,4 millones menores de edad.

e). Las primarias demócratas en EEUU, a expensas de las ciberamenazas.

Este mismo mes de diciembre conocimos un error técnico en NGP VAN, el software que utilizan los equipos de Hillary Clinton y Bernie Sanders, candidatos demócratas a la Casa Blanca, para acceder a los datos de los posibles votantes, una información crucial para la recaudación de fondos privados.

Dicho fallo provocó que los asesores de Sanders tuvieran acceso temporalmente a los datos de Clinton, como John Uretsky, director nacional de datos de la campaña de Sanders, que se habría valido de este fallo técnico para acceder en repetidas ocasiones a la base de datos de los votantes de Clinton.

A juicio de Enigmedia, a pesar de que las empresas estén concienciándose progresivamente y estén empezando a impulsar medidas internas para mejorar van por detrás de los hackers o ladrones de información. Como resultado de esta actividad las fugas de información o brechas en la seguridad digital, más comunes, desde la perspectiva de las causas o elementos que los producen, son las que se citan seguidamente a título de ejemplo:

a). Malwares a través del phishing: un ataque mediante emails. El emisor suplanta la identidad de una empresa conocida (últimamente Correos) e invita al usuario a descargarse un archivo para poder recuperar un paquete. De esta forma instala el malware en nuestro equipo y cifra toda la información. La única forma de recuperarla es pagando el rescate que nos piden (oscila entre 100 y 500€).

b). Comunicaciones inseguras y robo de información: Las empresas manejan una gran cantidad de información que puede ser sustraída con fines delictivos. Credenciales bancarias o información confidencial, todo es susceptible de ataque para sacar un beneficio económico con su venta o por espionaje industrial. Todo ello se facilita si nuestras comunicaciones son inseguras. A pesar de tener poca visibilidad en la sociedad actual, los ataques pueden hacer muchísimo daño y conseguir un beneficio económico multimillonario.

c). Empresas pequeñas también son objeto de ataques: Aunque la gran mayoría de las pequeñas empresas piensen que no son susceptibles de ser atacadas porque los ciberdelincuentes no “perderán su tiempo” con ellos, la realidad es otra. Al considerar que no corren peligro, las pymes no invierten tanto en seguridad y los ataques son mucho más fáciles de perpetrar. Para algunos hackers o ladrones de información es la principal razón de atacar.

d). Software desactualizado: El 19,26 por ciento de empresas siguen utilizando Windows XP, un sistema operativo al que Microsoft dejó de ofrecer soporte técnico hace poco más de un año. Se ha convertido en un nido de malware.

e). Establecer y comunicar la política de seguridad: Dentro de la empresa todos los empleados deben saber cuáles son las decisiones que se han tomado. Es decir, hay que establecer una política común en todos los departamentos para que no haya brechas en la seguridad. Por ejemplo, la forma de conectarse a redes inalámbricas o qué guardar en la nube u otro tipo de almacenamiento y cómo hacerlo. Si no se hace así, puede haber problemas porque cada empleado hará lo que le parezca.

MEDIDAS NECESARIAS

Enigmedia, también señala como medidas necesarias para evitar los ataques a una empresa las que se citan a continuación

a). Crear listas blancas: Además de no confiar en emails que no esperemos o en aquellos que contengan fallos de ortografía o mezcla de idiomas, es aconsejable, crear listas blancas que recogen los objetos conocidos como legítimos. De esta forma cuando un empleado desea abrir un archivo éste pasa automáticamente por una base de datos que certifica que ya se ha utilizado con anterioridad y que no contiene software malicioso. Antes se creaban listas negras, una base de datos con archivos dañinos para impedir de manera automática que estos puedan ejecutarse y afectar a un determinado equipo o red. Pero esta segunda vertiente tiene el problema de que los ciber delincuentes crean ingentes cantidades de malware a diario, en su mayoría pequeñas variaciones de uno. Es más aconsejable ir clasificando lo conocido.

b). Cifrado: el robo de información y las comunicaciones inseguras se pueden evitar cifrando y securizando las comunicaciones. En un informe publicado recientemente por Tecnalia, la empresa vasca aboga por el cifrado completo y el establecimiento de contraseñas robustas como medida obligatoria para todos los ordenadores portátiles y smartphones que se utilicen en una empresa. De esta forma evitaremos que los ladrones de información o hackers puedan hacerse con información privada. Podemos tener un buen sistema de seguridad, pero si nuestras comunicaciones no son seguras los hackers tendrán un acceso muy simple a todo eso que queremos proteger.

c). Invertir en seguridad: Obviamente sin derrochar todo el presupuesto y con proporcionalidad al tamaño de la empresa, pero teniendo en mente que hoy en día cualquiera puede ser víctima de un ataque. Los ciber delincuentes han visto que las empresas pequeñas son mucho más vulnerables y a pesar de que la cuantía del botín es considerablemente menor, optan por la rapidez y las facilidades.

d). Actualizar software: No es la panacea, pero si sus buscadores, el sistema operativo, el antivirus y demás programas están actualizados habrá cerrado una puerta de entrada a los ladrones de información.

e). Política de formación e información: informar periódicamente a los trabajadores de las medidas de seguridad que se van implementando: dónde guardar la información, cómo hacerlo, etc. El diseño de un sistema infranqueable no sirve para nada si aquellos que deben usarlo no saben cómo hacerlo. Al final, ese desconocimiento conllevará problemas y un punto débil ante ataques.

Por tanto, el punto fundamental de partida para el establecimiento y mantenimiento con garantías de éxito de la seguridad de la información es la definición clara de objetivos a partir de los cuales desarrollar las políticas y procedimientos que definan el marco en el que situar las medidas de seguridad a implantar, teniendo en cuenta aspectos como las leyes que rigen en materia de seguridad el espacio geográfico en el que se ubica la organización LOPD, los compromisos con terceros en el cumplimiento de normas que tenga la compañía  (27001, etc.) y, por supuesto, el día a día del negocio.