Seguridad: Conceptos básicos

De
Se han puesto a pensar que en nuestro entorno existen innumerables situaciones que pueden representar un problema para nuestra seguridad. Han pensado que día a día estamos expuesto a diferentes situaciones y que de forma consciente o inconsciente decidimos cómo enfrentarlas ¿Les suena familiar esta situación?

 La seguridad de la información es la disciplina que se encarga de proteger a la información de las amenazas que atenten contra su integridad, confidencialidad y disponibilidad (Pilares), cuya definición según el glosario ISO 27000 (Y un poco de mi autoría), son:
  • Integridad: "Propiedad de la información relativa a su exactitud y completitud". Es español podríamos definirlo como el buen estado o pureza de la información. Decimos que algo es integro cuando no ha sido alterado.
  • Confidencialidad: "Propiedad de la información de no ponerse a disposición o ser revelada a individuos, entidades o procesos no autorizados". Es la piedra angular de seguridad de la información para la protección de datos, a partir de ella se define cómo será presentado la información en base a necesidad de saber (termino militar need-to-know, el acceso debe estar limitado a las personas que necesitan tenerlo). 
  • Disponibilidad: "Propiedad de la información de estar accesible y utilizable cuando lo requiera una entidad autorizada". No hay mucho que agregar aquí, esta propiedad vela porque la información (o cualquier cosa) pueda ser utilizado en el momento que se requiera. De nada sirve que algo esté protegido sino lo podemos utilizar cuando lo necesitamos (Y por la persona autorizada a hacerlo). 


Todo es vulnerable, todo (que miedo), y esos pilares no son la excepción. Por ello debemos hacer un análisis basado en lo que a nosotros nos puede impactar, como persona u organización. Las amenazas que me afectan a mí como personas no son las mismas que pueden afectar a una empresa, por ello el análisis se debe basar en nuestra realidad y en las cosas que en verdad nos importa. Por ejemplo, dependiendo de la localidad donde nos ubiquemos, podríamos descartar la amenazada de catástrofe por impacto de un meteorito, pero en Chile no se debe descartar los temblores o terremotos (Hermoso país sísmico).

Este análisis es conocido y ampliamente utilizado al momento de definir inversiones de seguridad (O así debería ser), pero antes de seguir con este tema, es importante que conozcamos la definición de términos básicos que constantemente recitaremos en este blog (Otra vez un poco del glosario ISO 27000 y mi autoría):
  1. Amenaza: "Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la organización". No solo se limita a una organización, también puede ser a una persona, pero el foco de la ISO es organizaciones. Para mí, una amenaza es eso que puede provocar que nuestros objetivos no se cumplan, aquellos eventos que nos pone en peligro.
  2. Vulnerabilidad: "Debilidad de un activo o control que puede ser explotada por una o más amenazas". En otras palabras, la vulnerabilidad es aquello que puede ser utilizado a fin de causar daño. Punto débil que permite que la amenaza se materialice, suele ser algo innato de las cosas y asociado con una falta de control.
  3. Riesgo: "Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una pérdida o daño en un activo de información. Suele considerarse como una combinación de la probabilidad de un evento y sus consecuencias". El riesgo suele ser una ponderación cualitativa o cuantitativa de la probabilidad y el impacto de que se materialice una amenaza, algo así como un factor resultado del análisis de varios elementos de acuerdo a la naturaleza del riesgo que queramos revisar (Riesgo financieros, de seguridad, reputacional, etc…).
  4. Control: "Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido. Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición más simple, es una medida que modifica el riesgo". Es todo aquello que hacemos para disminuir la probabilidad o el impacto de que una amenaza nos afecte, son todas esas elementos que protegen las propiedades de la información u otro factor.

Estos cuatros conceptos, además de los tres pilares, se podrían considerar como fundamentales para la gestión de seguridad de la información, y lo debemos entender a cabalidad. Poco a poco iremos explotando esas definiciones, como podemos gestionarlos y para qué es importante identificarlos.

El conocimiento es poder, y por ello no se puede gestionar, administrar, o mejorar algo que desconocemos. Mi tarea en este blog será ir expandiendo estas definiciones e incorporando nuevos términos que nos ayudará en la tarea de optimizar la seguridad.

Hay que ser honesto y muchos términos pueden ser fácilmente confundidos (a mí me pasa). Dependiendo del marco de referencia al que nos apeguemos, al autor o al contexto, podemos ver como una amenaza es identificada como un riesgo o una vulnerabilidad, por ello más importante que discutir una definición de cada cosa, es que entendamos todos los factores que involucran a la seguridad y cómo podemos administrarlo de manera adecuada.

Lo que si tengo claro (conclusión de mi poca experiencia), es que la luz al final del camino, la clave para que nuestros esfuerzo tengan una dirección adecuada, es realizando un análisis de riesgo (para la vida, para el negocio, para todo). Este análisis nos permitirá enfocar la seguridad con nuestras necesidades, haciéndolo un conductor de nuestros objetivos.

En el próximo post, con un ejemplo, explicaré estos conceptos y además comenzaremos a adentraremos (un poco) en el tratamiento del riesgo, y cómo nuestra experiencia nos ayuda en la toma de decisiones.





Comentarios

Publicar un comentario

Populares

Seguridad: ¿Física, lógica o de la información?

De
Imagen
El concepto de seguridad ha sufrido cambios de identidad a través del tiempo, sin perder ciertos principios que garantizan la integridad, disponibilidad y confidencialidad de los activos. Cuando comenzamos adentrarnos en el mundo de la seguridad dentro de las organizaciones, solemos escuchar títulos tales como seguridad informática, cyber seguridad, seguridad física, lógica o simplemente seguridad de la información, que en general tienen dos vertientes en cuanto a su objetivo: Seguridad física : Su objetivo principal suele ser la seguridad de las personas y los recursos tangibles de la organización. Esta tipo de seguridad se caracteriza por tener mecanismos destinados a proteger físicamente recursos tales como personas, sala de procesamiento de datos, edificios, entre otros (Si sé que no es políticamente correcto decir que las personas somos un recurso/activo, pero para efectos prácticos lo llamaremos así, eso sí, somos el recurso más importante que existe).  Seguridad...
Leer más

Seguridad: Diseñar controles o vivir en el descontrol

De
Imagen
En cierta medida, vivimos con un grado de tranquilidad de acuerdo a la sensación de seguridad que tengamos, y esa sensación de seguridad está estrechamente relacionado al funcionamiento de los controles. Si recuerdan un poco, en varias oportunidades he escrito que los controles son aquellas medidas que nos permiten disminuir la probabilidad o el impacto de la materialización de una amenaza, por lo tanto, entre más conforme estemos con su funcionamiento, sentiremos que estamos mejor preparados para hacer frente a una situación adversa. Está realidad aplica para todo, nos sentiremos más a gusto haciendo algo si tenemos controles que nos den tranquilidad. Por ejemplo: si vamos a salir y está lloviendo de manera moderada, con utilizar un chaqueta impermeable con capucha sería suficiente (control para no mojarnos), pero si está lloviendo muy fuerte, es muy probable que ese control sea insuficiente, por lo que deberíamos cambiarlo o agregar otros, como un paraguas, botas a prueba de agu...
Leer más

Presentación: Un poco de mi

De
Imagen
Veamos ¿quién soy? Si hablamos desde el aspecto profesional (No hablaré mucho del personal porque los aburriría mas), soy Ingeniero en Electrónica, estudie esa carrera en un lugar muy hermoso de Venezuela (Puerto Ordaz, deje mi hogar para irme a estudiar 5 años en otra ciudad). Me gradué con el honor de ser el número uno de mi promoción, creo que corrí con la suerte de que mi mejor amiga (por mucho más inteligente, dedicada y con mejores notas) no se pudo graduar en ese momento (Luego se graduó cum laude. Hola Lorena!). Conseguí trabajo en Caracas (La capital de Venezuela, y como toda capital, un caos), unos ocho meses después de haberme graduado (Me lo tome con calma, mis papas no tanto). En mi primer trabajo tuve un breve contacto con la seguridad informática, estuve desarrollando sistemas de seguridad con biometría (Un intento fallido que duro no más de 4 meses). De ahí pase a formar parte de una importante empresa de telecomunicaciones donde inicie verdaderamente mi carrera profe...
Leer más