Los objetivos de protección de la seguridad de la información son los puntos clave elementales para la protección de la información. La información representa un valor económico importante para todas las empresas, y no sólo desde hoy. Es la base de su existencia y, por tanto, un requisito esencial para el éxito de los negocios. Por lo tanto, es obvio - o al menos deseable - que la información debe ser protegida. Sin embargo, todavía existe una gran distancia entre el deseo y la realidad.

Loading...

¿Cuáles son los objetivos de protección de la seguridad de la información?

Debido a una seguridad inadecuada en el tratamiento de la información, cada año se producen daños por valor de miles de millones de dólares. Pero, ¿cómo se puede conseguir una protección adecuada de los activos de la organización? ¿Y cuál es la mejor manera de que una empresa se inicie en el tema de la seguridad de la información?

Un sistema de gestión de la seguridad de la información (SGSI) bien estructurado según la norma ISO/IEC 27001 proporciona una base óptima para la aplicación eficaz de una estrategia de seguridad integral. La norma proporciona un modelo para la introducción, implementación, supervisión y mejora del nivel de protección. Para lograrlo, las empresas y organizaciones deben abordar en primer lugar los tres objetivos fundamentales de protección de la seguridad de la información:

  • Confidencialidad
  • Integridad
  • Disponibilidad

Objetivos de protección de la seguridad de la información: Confidencialidad de la información

El objetivo es proteger los datos confidenciales del acceso no autorizado, ya sea por motivos de la legislación sobre protección de datos o por secretos comerciales contemplados, por ejemplo, en la ley de secretos comerciales . Por lo tanto, la confidencialidad de la información y los datos sensibles está garantizada si sólo tienen acceso a ella las personas que tienen autoridad (autorización) para hacerlo. El acceso significa, por ejemplo, leer, editar (modificar) o incluso borrar.

Por lo tanto, las medidas adoptadas deben garantizar que sólo las personas autorizadas tengan acceso a la información confidencial, y en ningún caso las personas no autorizadas. Esto también se aplica a la información en papel, que puede estar sin protección en un escritorio e invitar a la lectura, o a la transmisión de datos a los que no se puede acceder en el curso de su procesamiento.

Loading...

Nuestra Guía de Auditoría ISO 27001 - Anexo A fue creada por expertos líderes como una ayuda práctica para la implementación y es ideal para comprender mejor los requisitos estándar seleccionados. La directriz se basa en ISO/IEC 27001:2017, y se espera una revisión de la norma ISO para finales de 2022.

Para las personas autorizadas, también es necesario especificar el tipo de acceso que deben tener, lo que se les permite o se les exige hacer, y lo que no se les permite hacer. Hay que garantizar que no puedan hacer lo que no se les permite. Los métodos y técnicas utilizados en este proceso son diversos y en algunos casos específicos de la empresa.

Si se trata "sólo" de la visualización o divulgación no autorizada de la información (también durante la transmisión, un clásico: ¡el tráfico de correo electrónico!), se pueden utilizar medidas criptográficas para proteger la confidencialidad, por ejemplo. Si el objetivo es impedir la modificación no autorizada de la información, entra en juego el objetivo de protección "integridad".

ISO/IEC 27001:2022 – Seguridad de la información, ciberseguridad y protección de la privacidad – Sistemas de gestión de la seguridad de la información – Requisitos

La norma ISO revisada se publicó el 25.10.2022. ISO/IEC 27001:2013 sigue siendo válida durante un período de transición de tres años hasta octubre de 2025.

La norma está disponible en el sitio web de la ISO.

Integridad de la información

El término técnico integridad está vinculado a varios requisitos a la vez:

  • Los cambios no intencionados en la información deben ser imposibles, o al menos detectables y rastreables. En la práctica, se aplica la siguiente gradación:
    - La integridad alta (fuerte) impide los cambios no deseados.
    - La integridad baja (débil) puede no impedir los cambios, pero garantiza que los cambios (no intencionados) puedan ser detectados y, si es necesario, rastreados (trazabilidad).
  • La fiabilidad de los datos y sistemas debe estar garantizada.
  • Debe garantizarse la integridad de la información.

Por lo tanto, las medidas destinadas a aumentar la integridad de la información también se centran en la cuestión de la autorización de acceso junto con la protección contra los ataques externos e internos.

"Mientras que las palabras " confidencialidad" y "disponibilidad " son fácilmente comprensibles, casi autoexplicativas, en términos de los objetivos clásicos de protección de la seguridad de la información, el término técnico"integridad" requiere alguna explicación. Se trata de la corrección (de los datos y sistemas), la integridad o la trazabilidad (de los cambios)."

Disponibilidad de la información

La disponibilidad de la información significa que esta información, incluidos los sistemas informáticos necesarios, debe ser accesible para cualquier persona autorizada en cualquier momento y utilizable (funcional) en la medida necesaria. Si un sistema falla o un edificio no es accesible, la información requerida no está disponible. En algunos casos, esto puede provocar interrupciones con consecuencias de gran alcance, por ejemplo en el mantenimiento de los procesos.

Por lo tanto, tiene sentido llevar a cabo un análisis de riesgos con vistas a la probabilidad de un fallo del sistema, su posible duración y los posibles daños causados por la falta de seguridad informática. De los resultados se pueden derivar contramedidas eficaces que se ejecutarán en el peor de los casos.

¿Qué son los objetivos de protección "ampliados"?

Además de los objetivos de seguridad de confidencialidad, integridad y disponibilidad, hay tres objetivos de seguridad adicionales. Estos incluyen los dos aspectos de "compromiso" y "responsabilidad", que se complementan entre sí. El primero significa garantizar que un actor no pueda negar su acción, el segundo que esta acción se le pueda atribuir de forma fiable. Ambos se reducen a la identificabilidad única de los actores, y la emisión de contraseñas únicas es un requisito mínimo para ello.

El tercer objetivo de protección ampliado es la "autenticidad", es decir, lo genuino. Una pregunta sencilla en este contexto es: ¿Es la información genuina, proviene realmente de la fuente especificada? Este objetivo de protección es importante para evaluar la fiabilidad de la fuente.

Man and a woman with a laptop in a server room
Loading...

La información de valor es el oro de hoy en día, y también un activo que hay que proteger para su empresa. Lea aquí las respuestas a las preguntas más importantes sobre la norma ISO 27001.

Conclusión

Los tres objetivos de protección más importantes de la seguridad de la información son la "confidencialidad", la "integridad" y la "disponibilidad".

Confidencialidad: Para poder garantizarla, hay que definir claramente quién está autorizado a acceder a esos datos sensibles y de qué manera. Esto está relacionado con las autorizaciones de acceso adecuadas y el uso de técnicas criptográficas, por ejemplo.

La integridad significa la protección contra los cambios no autorizados y la eliminación de información, además de la fiabilidad y la integridad de la información. Por tanto, es importante que su empresa tome precauciones para detectar rápidamente los cambios en los datos o para evitar la manipulación no autorizada desde el principio.

La disponibilidad significa que la información, los sistemas y los edificios deben estar disponibles para las personas autorizadas en todo momento. Dado que los fallos de los sistemas, por ejemplo, están asociados a riesgos importantes, debe realizarse un análisis de riesgos para este conjunto de temas. Registre aquí la probabilidad de fallo, el tiempo de inactividad y el potencial de daño de los sistemas más necesarios.

El compromiso, la responsabilidad y la autenticidad son objetivos de protección "ampliados".

El compromiso se entiende para garantizar que un actor no pueda negar sus acciones. La responsabilidad complementa este objetivo de protección ampliado al identificar claramente a dicho actor. La autenticidad plantea la pregunta: ¿Es una información genuina o digna de confianza?

DQS - Lo que puede esperar de nosotros

La seguridad de la información es un tema complejo que va mucho más allá de la seguridad informática. Incluye aspectos técnicos, organizativos y de infraestructura. La norma internacional ISO/IEC 27001 es adecuada para adoptar medidas de protección eficaces en forma de un sistema de gestión de la seguridad de la información (SGSI).

DQS es su especialista en auditorías y certificaciones de sistemas y procesos de gestión. Con 35 años de experiencia y el know-how de 2.500 auditores en todo el mundo, somos su socio de certificación competente y ofrecemos respuestas a todas las preguntas relacionadas con la norma ISO 27001 y los sistemas de gestión de la seguridad de la información.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Estaremos encantados de responder a sus preguntas

¿Cuánto esfuerzo debe esperar para que su sistema de gestión de la seguridad de la información se certifique según la norma ISO 27001? Descúbralo. Sin compromiso y de forma gratuita.

Confianza y experiencia

Nuestros textos y folletos están redactados exclusivamente por nuestros expertos en normas o auditores con muchos años de experiencia. Si tiene alguna pregunta sobre el contenido del texto o sobre nuestros servicios a nuestro autor, no dude en enviarnos un correo electrónico.

Autor
André Saeckel

Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria automotriz). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.

Loading...