Datos, Información y Pilares de la seguridad

Datos, Información y Pilares de la seguridad

Datos son los hechos que describen sucesos y entidades. "Datos" es una palabra en
plural que se refiere a más de un hecho. A un hecho simple se le denomina "data-
ítem" o elemento de dato. Los datos son comunicados por varios tipos de símbolos
tales como las letras del alfabeto, números, movimientos de labios, puntos y rayas,
señales con la mano, dibujos, etc. Estos símbolos se pueden ordenar y reordenar de
forma utilizable y se les denomina información. Los datos son símbolos que describen
condiciones, hechos, situaciones o valores. Los datos se caracterizan por no contener
ninguna información. Un dato puede significar un número, una letra, un signo
ortográfico o cualquier símbolo que represente una cantidad, una medida, una palabra
o una descripción.

La importancia de los datos está en su capacidad de asociarse dentro de un contexto

para convertirse en información. Por si mismos los datos no tienen capacidad de
comunicar un significado y por tanto no pueden afectar el comportamiento de quien
los recibe. Para ser útiles, los datos deben convertirse en información para ofrecer un
significado, conocimiento, ideas o conclusiones.

Los datos son valores, son números, medidas, textos, documentos en bruto. La
información es el valor de esos datos. Es lo que nos aporta conocimiento. Nuestros
manuales de procedimiento, los datos de los empleados, los de los proveedores y
clientes de la empresa, la base de datos de facturación. Todo ello, son datos
estructurados de tal forma que se convierten en información que nos aportan valor
como empresa. Los tres pilares de la seguridad de la información se fundamentan en
esa necesidad que todos tenemos, de la información, de su importancia. Necesitamos
preservar confidencialidad, integridad y disponibilidad de la información, para sacarle
el máximo rendimiento con el mínimo riesgo. Ahora que comprendemos la importancia
de la información, podemos deducir que, si aquella información que es vital para
nuestras actividades cae en manos inapropiadas, perderá valor, nosotros perderemos
intimidad o capacidad de maniobra y, además, nuestra reputación puede verse
dañada. Sin contar con que la información puede ser aprovechada por
cibercriminales, competencia y cualquier otra potencial fuente de riesgos para nuestro
proyecto. La gestión de la información se fundamenta en tres pilares fundamentales
que son, confidencialidad, integridad y disponibilidad.
 La Confidencialidad consiste en asegurar que solo el personal autorizado accede a la
información que le corresponde, nadie más. De este modo, cada sistema automático o
individuo solo podrá usar los recursos que necesita para ejercer sus tareas. Para
garantizar la confidencialidad, se recurre principalmente a 3 recursos: 

 Autenticación de usuarios que sirve para identificar, que quién accede a la

información es quién dice ser. 
 Asignación de privilegios, para que los usuarios que acceden a un sistema
puedan operar solo con la información para la que se les ha autorizado y solo
en la forma que se les autorice, por ejemplo: gestionando permisos de lectura
y/o escritura en función del usuario. 
 Cifrado de información también denominado encriptación que evita que esta
sea accesible a quien no está autorizado para ello. 

Solo mediante un sistema de contraseñas puede extraerse la información de forma

inteligible y es aplicable tanto a la información que está siendo transmitida como a la
almacenada. Los principios de confidencialidad no solo deben aplicarse para proteger
nuestra propia información, sino todos aquellos datos e información de los que
seamos responsables. La información puede tener carácter confidencial no solo por
ser de alto valor para nosotros sino, por ejemplo, porque puede estar amparada por
legislación de protección de datos de carácter personal. Un ejemplo de violación de
la confidencialidad son las filtraciones sufridas por entidades bancarias, grandes
empresas y gobiernos para exponer públicamente algunas de sus actividades.

 La Integridad es el segundo pilar de la seguridad consiste en asegurarse de que la

información no se pierde ni se ve comprometida voluntaria ni involuntariamente. El
hecho de trabajar con información errónea puede ser tan nocivo para nuestras
actividades como perder la información. De hecho, si la manipulación de la
información es lo suficientemente sutil, puede causar que arrastremos una cadena de
errores acumulativos y sucesivamente tomemos decisiones equivocadas. Para
garantizar la integridad de nuestra información debemos tener control sobre el tráfico
de red para descubrir posibles intrusiones, implementar políticas de auditoria que
registren quién hace qué, cuándo y con qué información, e implementar sistemas de
control de cambios algo tan sencillo, como, por ejemplo, comprobar los haces o
resúmenes de los archivos de información almacenados en un sistema, para
comprobar si cambian o no. Como último recurso tenemos las copias de seguridad
que en caso de no conseguir impedir que se manipule o pierda la información, nos
permite recuperarla en su estado anterior.

 Por último, el tercero de los pilares a tener en cuenta para poder considerar que
disponemos de una seguridad mínima en lo que a nuestra información respecta es
la Disponibilidad; de nada sirve que solo nosotros accedamos a nuestra información y
que sea incorruptible, si el acceso a la misma es tedioso o imposible. La información,
para resultar útil y valiosa, debe estar disponible para quien la necesita. Debemos
implementar las medidas necesarias para que tanto la información como los servicios
estén disponibles. Por ejemplo, un ataque distribuido de denegación de servicio o
DDoS puede dejar inutilizada nuestra tienda online, impidiendo que los clientes
accedan a la misma y puedan comprar.
 Otro ejemplo de pérdida de disponibilidad sería que nuestra dirección de correo
electrónico sea utilizada para lanzar campañas de spam y, en consecuencia, añadida
a listas negras impidiendo que ninguno de los destinatarios de nuestro e-mail
legítimos, los reciba. Para este propósito, se implementan políticas de control como el
SLA o Acuerdo de Nivel de Servicio; Balanceadores de carga de tráfico para
minimizar el impacto de ataques de denegación de servicio; Copias de seguridad para
restauración de información perdida. Para concretar, diremos que nuestra información
y sistemas son seguros, si solo accede a la información y recursos quién debe. Si
podemos detectar y recuperarnos de manipulaciones accidentales o voluntarias de la
información, y si podemos garantizar un nivel de servicio y acceso a la información,
aceptable, según nuestras necesidades.

La seguridad debe abordarse en un contexto global y, en particular, tener en cuenta

los siguientes aspectos:

·       Sensibilizar a los usuarios sobre los problemas de seguridad.

·       Seguridad lógica, es decir, seguridad a nivel de datos, incluyendo datos

empresariales, aplicaciones o sistemas operativos.

·       Seguridad de las telecomunicaciones: tecnologías de red, servidores

corporativos, redes de acceso, etc.

·       Seguridad física, es decir, seguridad a nivel de infraestructuras físicas: salas

seguras, lugares abiertos al público, zonas comunes de la empresa, puestos de
trabajo para el personal, etc.