La seguridad de la información en la empresa. (Parte 1)

 

SEGURIDAD DE LA INFORMACIÓN 

¿QUÉ ES?

La seguridad de la información se refiere a todas las acciones y estrategias empleadas para proteger y controlar los datos dentro de una organización, garantizando que permanezcan dentro del sistema establecido por la misma y no sean accesibles por entidades no autorizadas.

DIMENSIONES

La seguridad de la información se articula sobre tres dimensiones, que son los pilares sobre los que aplicar las medidas de protección de nuestra información.

La disponibilidad de la información hace referencia a que la información esté accesible cuando la necesitemos.Algunos ejemplos de falta de disponibilidad de la información son: 

cuando nos es imposible acceder al correo electrónico corporativo debido a un error de configuración, o bien, cuando se sufre un ataque de denegación de servicio,en el que el sistema «cae» impidiendo accesos legítimos.

La integridad de la información hace referencia a que la información sea correcta y esté libre de modificaciones y errores. La información ha podido ser alterada intencionadamente o ser incorrecta y nosotros podemos basar nuestras decisiones en ella.

La confidencialidad implica que la información es accesible únicamente por el personal autorizado. Es lo que se conoce como need-to-know. Con este término se hace referencia a que la información solo debe ponerse en conocimiento de las personas, entidades o sistemas autorizados para su acceso. 

La evaluación de los activos de información de la organización en relación a estas tres dimensiones de la seguridad determina la dirección a seguir en la implantación y selección de medidas, también denominadas controles o salvaguardas.

Las salvaguardas son las medidas necesarias para proteger la información de nuestro negocio.

Para la selección de estas medidas tendremos que fijarnos en los siguientes aspectos:

1. Determinar la importancia de la información que manejamos.

2. Identificar, clasificar y valorar la información según las dimensiones de seguridad son los pasos previos que van a dirigir la selección de las salvaguardas. 

3. Tendremos también que conocer la naturaleza de los controles que podemos implantar. No sólo tendremos que considerar medidas técnicas  como la instalación de un cortafuegos, sino que consideraremos también medidas organizativas, por ejemplo, implantar un plan de formación, establecer responsables de los activos o adaptarnos para cumplir con la legislación.

4. El coste de las medidas será también un factor a considerar, pues ha de ser proporcional al riesgo que se quiere evitar.

Podemos clasificar la información, estableciendo varios niveles en función de su importancia para la empresa.

1. Confidencial. Información especialmente sensible para la organización. Su tratamiento: Esta información debe marcarse adecuadamente.Se deben implementar todos los controles necesarios para limitar el accesoa la misma únicamente a aquellos empleados que necesiten conocerla.En caso de sacarla de las instalaciones de la empresa en formato digital, debe cifrarse.Para los datos de carácter personal, se deben tener en cuenta la protección y garantías indicadas en la legislación sobre la materia.

2. Interna. Información propia de la empresa,accesible para todos sus empleados. Su tratamiento: Esta información debe estar adecuadamente etiquetada, y estar accesiblepara todo el personal.No debe difundirse a terceros salvoautorización expresa de la dirección dela empresa.

3. Pública. Cualquier material de la empresa sin restricciones de difusión. Por ejemplo,información publicada en la página web o materiales comerciales. Su tratamiento: Esta información no está sujeta a ningún tipo de tratamiento especial.

PERFILES DE LA INFORMACIÓN

La asignación de permisos sobre los recursos que contienen la información puede realizarse individualmente, por perfiles o por grupos de usuarios.

Más información en: 

Los 5 errores graves en la Gestión del Dato que debes evitar. (2024, 1 de abril). clarcat. https://www.clarcat.com/gestion-del-dato-que-debes-evitar/

(s.f.). Pridatect | Software RGPD | Protección de Datos Simplificada. https://www.pridatect.es/wp-content/uploads/2021/02/Los-errores-mas-comunes-que-te-hacen-incumplir-el-RGPD-y-como-solucionarlos.pdf

(s.f.). https://www.incibe.es/sites/default/files/contenidos/dosieres/metad_proteccion-de-la-informacion.pdf