La seguridad de la información (IS) es un conjunto de técnicas y prácticas para proteger la información de influencias externas e internas en una instalación de informatización.
El objetivo principal de la seguridad de la información es proteger la información y la infraestructura que la procesa de la pérdida o filtración de datos a terceros.
La creación de un sistema de seguridad de la información en una instalación de informatización se basa en tres principios.
Seguridad de la información
Principios
El primer principio es la confidencialidad. El acceso a los datos se proporciona de acuerdo con la regla de “conocimiento mínimo necesario”. En otras palabras, el usuario debe tener derecho a acceder solo a la parte de la información que necesita para realizar sus funciones oficiales.
Uno de los métodos para implementar este principio es la clasificación (categorización) de los datos. Por ejemplo, la información dentro de una organización se divide en 3 tipos: pública, interna y estrictamente confidencial.
El segundo principio es la integridad. La información debe protegerse contra cambios o distorsiones. Debe almacenarse, procesarse y transmitirse a través de canales de comunicación confiables.
Para garantizar la integridad a nivel de usuario, se utiliza la regla de “separación de poderes”, es decir, cualquier cambio lo realiza un usuario y otro confirma o rechaza. Es obligatorio mantener registros de cualquier operación en el sistema de información.
El tercer principio es la accesibilidad. Esto significa que la información debe estar disponible para el usuario según sea necesario. La opción ideal 24*7*365 .
Este ítem incluye no solo el factor humano, sino también el natural(por ejemplo, un tsunami o huracán). El sistema de información debe garantizar la accesibilidad en todas las condiciones.
Herramientas
Las siguientes se utilizan como herramientas de seguridad de la información:
- Legal. En la instalación de informatización se están desarrollando documentos especiales, que están orientados a garantizar la seguridad de la información. La principal es la política de seguridad de la información, sobre cuya base se basa la protección.
- Organizacional. Estos incluyen los lugares de trabajo de los empleados (computadoras, UPS, etc.), centros de datos (conmutación, sistemas de almacenamiento de datos, potencia informática, etc.), redundancia (creación de canales de comunicación duplicados, respaldo de datos).
- Software. Software que ayuda a controlar las acciones de los empleados, almacenar información y proporcionar acceso confiable a los datos.
- Técnico. Equipo especializado que protege la información de fugas o piratería informática. Por ejemplo, cifrado, procedimiento de autenticación en dos pasos, entornos de trabajo virtuales, etc.
Garantizar la seguridad de la información en la empresa consiste en un enfoque integrado para construir un sistema confiable y tolerante a fallas. Los puntos anteriores se recomiendan para su implementación en cualquier instalación de informatización.