El aseguramiento de la información ( IA ) es la práctica de asegurar la información y gestionar los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información. La garantía de la información incluye la protección de la integridad , disponibilidad, autenticidad, no repudio y confidencialidad de los datos del usuario. [1] IA abarca no solo protecciones digitales sino también técnicas físicas. Estas protecciones se aplican a los datos en tránsito , tanto en formato físico como electrónico, así como a los datos en reposo . IA se considera mejor como un superconjunto de seguridad de la información (es decir, término general) y como el resultado comercial degestión de riesgos de la información .
Descripción general
El aseguramiento de la información (IA) es el proceso de procesamiento, almacenamiento y transmisión de la información correcta a las personas adecuadas en el momento adecuado. [1] La AI se relaciona con el nivel empresarial y la gestión de riesgos estratégicos de la información y los sistemas relacionados, más que con la creación y aplicación de controles de seguridad. IA se usa para beneficio empresarial a través del uso de la información de gestión de riesgos , gestión de la confianza , la resiliencia, la arquitectura adecuada, la seguridad del sistema, y la seguridad, lo que aumenta la utilidad de la información sólo a sus usuarios autorizados y reduce. Por lo tanto, además de defenderse contra piratas informáticos y códigos maliciosos (por ejemplo, virus ), los profesionales de AI consideran cuestiones de gobierno corporativo como privacidad , cumplimiento normativo y de estándares , auditoría , continuidad comercial y recuperación ante desastres en lo que respecta a los sistemas de información. Además, la IA es un campo interdisciplinario que requiere experiencia en negocios , contabilidad , experiencia del usuario, examen de fraude , ciencia forense , ciencia administrativa , ingeniería de sistemas , ingeniería de seguridad y criminología , además de informática.
Evolución
Con el crecimiento de las redes de telecomunicaciones también viene la dependencia de las redes, lo que hace que las comunidades sean cada vez más vulnerables a los ataques cibernéticos que podrían interrumpir, degradar o destruir servicios vitales. [2] A partir de la década de 1950, el papel y el uso de la garantía de la información ha crecido y evolucionado. Al principio, la garantía de la información implicaba solo la copia de seguridad de los datos. [3] Sin embargo, una vez que aumentó el volumen de información, el acto de aseguramiento de la información comenzó a automatizarse, reduciendo el uso de la intervención del operador, permitiendo la creación de respaldo instantáneo. [3] El último gran avance del aseguramiento de la información es la implementación de sistemas distribuidos para el procesamiento y almacenamiento de datos a través de técnicas como SAN y NAS , así como el uso de computación en la nube . [4] [5] [3] Estos tres desarrollos principales de la información coinciden con las tres generaciones de tecnologías de la información, la primera utilizada para prevenir intrusiones, la segunda para detectar intrusiones y la tercera para la supervivencia. [6] [7] La garantía de la información es un esfuerzo de colaboración de todos los sectores de la vida para permitir un intercambio de ideas libre e igualitario. [8]
Pilares
La garantía de la información se basa en cinco pilares: disponibilidad , integridad , autenticación , confidencialidad y no repudio . [9] Estos pilares se tienen en cuenta para proteger los sistemas y, al mismo tiempo, permitirles brindar servicios de manera eficiente; Sin embargo, estos pilares no actúan de forma independiente entre sí, sino que interfieren con el objetivo de los demás pilares. [9] Estos pilares de la garantía de la información han cambiado lentamente para convertirse en los pilares de la seguridad cibernética. Como administrador es importante enfatizar los pilares que desea para lograr el resultado deseado para su sistema de información, equilibrando los aspectos de servicio y privacidad .
Autenticación
La autenticación se refiere a la verificación de la validez de una transmisión, originador o proceso dentro de un sistema de información. [10] La autenticación proporciona al destinatario confianza en la validez de los remitentes de los datos, así como en la validez de su mensaje. [9] Existen muchas formas de reforzar la autenticación, principalmente dividiéndolas en tres formas principales, información de identificación personal como el nombre de una persona, dirección, número de teléfono, acceso a un token de clave o información conocida, como contraseñas. [11]
Integridad
La integridad se refiere a la protección de la información contra alteraciones no autorizadas. [3] El objetivo de la integridad de la información es garantizar que los datos sean precisos durante toda su vida útil. [12] [13] La autenticación de usuario es un habilitador crítico para la integridad de la información. [9] La integridad de la información es función del número de grados de confianza que existen entre los extremos de un intercambio de información. [13] Una forma de mitigar el riesgo de integridad de la información es mediante el uso de diseños de software y chips redundantes. [14] Una falla en la autenticación podría suponer un riesgo para la integridad de la información, ya que permitiría a una parte no autorizada alterar el contenido. Por ejemplo, si un hospital tiene políticas de contraseña inadecuadas, un usuario no autorizado podría obtener acceso a los sistemas de información que rigen la entrega de medicamentos a los pacientes y corre el riesgo de alterar el curso del tratamiento en detrimento de un paciente en particular. [13]
Disponibilidad
El pilar de disponibilidad se refiere a la preservación de los datos que se recuperarán o modificarán de personas autorizadas. La mayor disponibilidad se conserva mediante un aumento en la confiabilidad del canal o del sistema de almacenamiento. [9] Las infracciones en la disponibilidad de la información pueden resultar de cortes de energía, fallas de hardware, DDOS , etc. El objetivo de la alta disponibilidad es preservar el acceso a la información. La disponibilidad de información se puede reforzar mediante el uso de energía de respaldo , canales de datos de repuesto , capacidades externas y señal continua . [13]
Confidencialidad
La confidencialidad es, en esencia, lo opuesto a la integridad. La confidencialidad es una medida de seguridad que protege contra quién puede acceder a los datos, lo que se hace protegiendo a quién tiene acceso a la información. [9] Esto es diferente de la integridad, ya que la integridad protege a quién puede cambiar la información. La confidencialidad a menudo se garantiza con el uso de criptografía y esteganografía de datos. [3] La confidencialidad se puede ver dentro de la clasificación y la superioridad de la información con operaciones internacionales como la OTAN [15] La garantía de confidencialidad de la información en los Estados Unidos debe seguir la HIPAA y la política de seguridad del proveedor de atención médica, el etiquetado de la información y las regulaciones de necesidad de conocer para garantizar la no divulgación de información. [13]
No repudio
El no repudio es la integridad de los datos para que sean fieles a su origen, lo que evita la posible negación de que ocurrió una acción. [3] [1] El aumento del no repudio hace que sea más difícil negar que la información proviene de una fuente determinada. En otras palabras, lo hace para que no pueda disputar la fuente / autenticidad de los datos. El no repudio implica la reducción de la integridad de los datos mientras esos datos están en tránsito, generalmente mediante el uso de un ataque de intermediario o phishing . [dieciséis]
Interacciones de pilares
Como se dijo anteriormente, los pilares no interactúan de forma independiente entre sí, con algunos pilares impidiendo el funcionamiento de otros pilares o en el caso contrario donde impulsan otros pilares. [9] Por ejemplo, el aumento de la disponibilidad de información va directamente en contra de los objetivos de otros tres pilares: integridad, autenticación y confidencialidad. [9]
Proceso
El proceso de aseguramiento de la información generalmente comienza con la enumeración y clasificación de los activos de información a proteger. A continuación, el practicante de AI realizará una evaluación de riesgos para esos activos. [17] Las vulnerabilidades en los activos de información se determinan con el fin de enumerar las amenazas capaces de explotar los activos. Luego, la evaluación considera tanto la probabilidad como el impacto de una amenaza que explota una vulnerabilidad en un activo, y el impacto generalmente se mide en términos de costo para las partes interesadas del activo. [18] La suma de los productos del impacto de las amenazas y la probabilidad de que ocurran es el riesgo total para el activo de información.
Una vez completada la evaluación de riesgos, el practicante de AI desarrolla un plan de gestión de riesgos . Este plan propone contramedidas que involucran mitigar, eliminar, aceptar o transferir los riesgos, y considera la prevención, detección y respuesta a las amenazas. Un marco publicado por una organización de estándares, como NIST RMF, Risk IT , CobiT , PCI DSS o ISO / IEC 27002 , puede guiar el desarrollo. Las contramedidas pueden incluir herramientas técnicas como firewalls y software antivirus , políticas y procedimientos que requieren controles tales como copias de seguridad periódicas y refuerzo de la configuración, capacitación de los empleados en conciencia de seguridad u organización del personal en un equipo de respuesta a emergencias informáticas (CERT) dedicado o respuesta a incidentes de seguridad informática. equipo ( CSIRT ). El costo y el beneficio de cada contramedida se consideran cuidadosamente. Por lo tanto, el practicante de AI no busca eliminar todos los riesgos, si fuera posible, sino gestionarlos de la manera más rentable . [19]
Una vez implementado el plan de gestión de riesgos, se prueba y evalúa, a menudo mediante auditorías formales. [17] El proceso de EI es iterativo, en el sentido de que la evaluación de riesgos y el plan de gestión de riesgos deben revisarse y mejorarse periódicamente en función de los datos recopilados sobre su integridad y eficacia. [2]
Existen dos meta-técnicas con garantía de información: auditoría y evaluación de riesgos. [17]
Gestión de riesgos empresariales
La Gestión de Riesgos Empresariales se divide en tres procesos principales Evaluación de Riesgos, Mitigación de Riesgos y Evaluación y valoración. [20] La garantía de la información es una de las metodologías que utilizan las organizaciones para implementar la gestión de riesgos comerciales. Mediante el uso de políticas de aseguramiento de la información como el marco "LADRILLO". [1] Además, la gestión de riesgos comerciales también se produce para cumplir con las leyes federales e internacionales con respecto a la divulgación y la seguridad de la información, como HIPAA [21] La garantía de la información se puede alinear con las estrategias corporativas a través de la capacitación y la conciencia, la participación y el apoyo de la alta dirección, y comunicación intraorganizacional que permita un mayor control interno y gestión de riesgos empresariales. [22] Muchos ejecutivos de seguridad de estas empresas están pasando a depender de la seguridad de la información para proteger la propiedad intelectual, proteger contra posibles fugas de datos y proteger a los usuarios contra ellos mismos. [18] Si bien el uso de la garantía de la información es bueno para garantizar ciertos pilares como la confidencialidad, el no repudio, etc., debido a su naturaleza conflictiva, el aumento de la seguridad a menudo se produce a expensas de la velocidad. [9] [18] Dicho esto, el uso de la garantía de la información en el modelo de negocio mejora la toma de decisiones de gestión confiable, la confianza del cliente, la continuidad del negocio y la buena gobernanza tanto en el sector público como en el privado. [23]
Organizaciones de estándares y estándares
Hay una serie de organismos nacionales e internacionales que emiten estándares sobre prácticas, políticas y procedimientos de aseguramiento de la información. En el Reino Unido, estos incluyen el Information Assurance Advisory Council y el Information Assurance Collaboration Group . [4]
Ver también
- Activo (informática)
- Contramedida (computadora)
- Análisis factorial de riesgo de la información
- Práctica de información justa
- Alerta de vulnerabilidad de garantía de la información
- Seguridad de información
- ISO / IEC 27001
- ISO 9001
- ISO 17799
- Riesgo de TI
- Cubo McCumber
- Garantía de misión
- Riesgo
- Arriesgalo
- Marco de gestión de riesgos
- Controles de seguridad
- Amenaza
- Vulnerabilidad
Referencias
- Notas
- ↑ a b c d Sosin, Artur (1 de abril de 2018). "CÓMO AUMENTAR LA GARANTÍA DE LA INFORMACIÓN EN LA ERA DE LA INFORMACIÓN" . Revista de Gestión de Recursos de Defensa . 9 (1): 45–57. ISSN 2068-9403 .
- ^ a b McConnell, M. (abril de 2002). "Aseguramiento de la información en el siglo XXI" . Computadora . 35 (4): supl16 – supl19. doi : 10.1109 / MC.2002.1012425 . ISSN 0018-9162 .
- ^ a b c d e f Cummings, R. (diciembre de 2002). "La evolución del aseguramiento de la información" . Computadora . 35 (12): 65–72. doi : 10.1109 / MC.2002.1106181 . ISSN 0018-9162 .
- ^ a b Pringle, Nick; Burgess, Mikhaila (mayo de 2014). "Aseguramiento de la información en un clúster forense distribuido" . Investigación digital . 11 : S36 – S44. doi : 10.1016 / j.diin.2014.03.005 .
- ^ Chakraborty, Rajarshi; Ramireddy, Srilakshmi; Raghu, TS; Rao, H.Raghav (julio de 2010). "Las prácticas de aseguramiento de la información de los proveedores de computación en la nube" . Profesional de TI . 12 (4): 29–37. doi : 10.1109 / mitp.2010.44 . ISSN 1520-9202 .
- ^ Luenam, P .; Peng Liu (2003). "El diseño de un sistema de base de datos adaptable y tolerante a intrusiones" . Fundamentos de los sistemas tolerantes a intrusiones, 2003 [Sistemas de información con garantía orgánica y supervivencia] . IEEE: 14-21. doi : 10.1109 / ajustes.2003.1264925 . ISBN 0-7695-2057-X.
- ^ Liu, Peng; Zang, Wanyu (2003). "Modelado basado en incentivos e inferencia de la intención, los objetivos y las estrategias del atacante" . Actas de la 10ª Conferencia de la ACM sobre seguridad informática y de las comunicaciones - CCS '03 . Nueva York, Nueva York, EE.UU .: ACM Press: 179. doi : 10.1145 / 948109.948135 . ISBN 1-58113-738-9.
- ^ Stahl, Bernd Carsten (julio de 2004). "Responsabilidad por la garantía de la información y la privacidad: ¿un problema de ética individual?" . Journal of Organizational and End User Computing . 16 (3): 59–77. doi : 10.4018 / joeuc.2004070104 . ISSN 1546-2234 .
- ^ a b c d e f g h yo Wilson, Kelce S. (julio de 2013). "Conflictos entre los pilares del aseguramiento de la información" . Profesional de TI . 15 (4): 44–49. doi : 10.1109 / mitp.2012.24 . ISSN 1520-9202 .
- ^ Sadiku, Matthew; Alam, Shumon; Musa, Sarhan (2017). "Beneficios y desafíos del aseguramiento de la información: una introducción" . procon.bg . Consultado el 28 de noviembre de 2020 .
- ^ San Nicolás-Rocca, Tonia; Burkhard, Richard J (17 de junio de 2019). "Seguridad de la información en bibliotecas" . Tecnologías de la información y bibliotecas . 38 (2): 58–71. doi : 10.6017 / ital.v38i2.10973 . ISSN 2163-5226 .
- ^ Boritz, J. Efrim (diciembre de 2005). "Opiniones de los profesionales de SI sobre conceptos básicos de integridad de la información" . Revista Internacional de Sistemas de Información Contable . 6 (4): 260–279. doi : 10.1016 / j.accinf.2005.07.001 .
- ^ a b c d e Schou, CD; Frost, J .; Maconachy, WV (enero de 2004). "Aseguramiento de la información en sistemas informáticos biomédicos" . Revista IEEE Ingeniería en Medicina y Biología . 23 (1): 110-118. doi : 10.1109 / MEMB.2004.1297181 . ISSN 0739-5175 . PMID 15154266 .
- ^ Yan, Aibin; Hu, Yuanjie; Cui, Jie; Chen, Zhili; Huang, Zhengfeng; Ni, Tianming; Girard, Patrick; Wen, Xiaoqing (1 de junio de 2020). "Aseguramiento de la información a través del diseño redundante: un pestillo TNU nuevo resistente a errores para entornos de radiación hostil" . Transacciones IEEE en computadoras . 69 (6): 789–799. doi : 10.1109 / tc.2020.2966200 . ISSN 0018-9340 .
- ^ Hanna, Michael; Granzow, David; Bolte, Bjorn; Alvarado, Andrew (2017). "Intercambio de información e inteligencia de la OTAN: mejora de la estrategia de la OTAN para las operaciones de estabilización y reconstrucción" . Conexiones: The Quarterly Journal . 16 (4): 5–34. doi : 10.11610 / connections.16.4.01 . ISSN 1812-1098 .
- ^ Chen, Chin-Ling; Chiang, Mao-Lun; Hsieh, Hui-Ching; Liu, Ching-Cheng; Deng, Yong-Yuan (8 de mayo de 2020). "Una autenticación mutua ligera con dispositivo portátil en la informática de borde móvil basada en la ubicación" . Comunicaciones personales inalámbricas . 113 (1): 575–598. doi : 10.1007 / s11277-020-07240-2 . ISSN 0929-6212 .
- ^ a b c Tal, José M .; Gouglidis, Antonios; Knowles, William; Misra, Gaurav; Rashid, Awais (julio de 2016). "Técnicas de aseguramiento de la información: rentabilidad percibida" . Computadoras y seguridad . 60 : 117-133. doi : 10.1016 / j.cose.2016.03.009 .
- ^ a b c Johnson, ME; Goetz, E .; Pfleeger, SL (mayo de 2009). "Seguridad a través de la gestión de riesgos de la información" . Privacidad de seguridad IEEE . 7 (3): 45–52. doi : 10.1109 / MSP.2009.77 . ISSN 1558-4046 .
- ^ Singh, R .; Salam, AF (mayo de 2006). "Aseguramiento de la información semántica para la gestión segura del conocimiento distribuido: una perspectiva de procesos de negocio" . Transacciones IEEE sobre sistemas, hombre y cibernética - Parte A: Sistemas y seres humanos . 36 (3): 472–486. doi : 10.1109 / TSMCA.2006.871792 . ISSN 1083-4427 .
- ^ Knapp, Kenneth J., ed. (2009). Seguridad cibernética y garantía de la información global . IGI Global. doi : 10.4018 / 978-1-60566-326-5 . ISBN 978-1-60566-326-5.
- ^ Park, Insu; Sharman, Raj; Rao, H. Raghav (2 de febrero de 2015). "Experiencia de desastre y sistemas de información hospitalaria: un examen de la seguridad de la información percibida, el riesgo, la resiliencia y su utilidad" . MIS Quarterly . 39 (2): 317–344. doi : 10.25300 / misq / 2015 / 39.2.03 . ISSN 0276-7783 .
- ^ McFadzean, Elspeth; Ezingeard, Jean-Noël; Birchall, David (8 de abril de 2011). "Aseguramiento de la información y estrategia corporativa: un estudio Delphi de opciones, desafíos y desarrollos para el futuro" . Gestión de sistemas de información . 28 (2): 102-129. doi : 10.1080 / 10580530.2011.562127 . ISSN 1058-0530 .
- ^ Ezingeard, Jean-Noël; McFadzean, Elspeth; Birchall, David (marzo de 2005). "Un modelo de beneficios de aseguramiento de la información" . Gestión de sistemas de información . 22 (2): 20-29. doi : 10.1201 / 1078 / 45099.22.2.20050301 / 87274.3 . ISSN 1058-0530 .
- Bibliografía
- Cifrado de datos; Científicos de la encriptación de datos objetivo de la Universidad Chang Gung. (2011, mayo). Newsweekly de tecnología de la información, 149. Obtenido el 30 de octubre de 2011 de ProQuest Computing. (ID de documento: 2350804731).
- Stephenson (2010). "Autenticación: un pilar del aseguramiento de la información". Revista SC . 21 (1): 55.
- Cummings, Roger (2002). "La evolución de la garantía de la información" (PDF) . Computadora . 35 (12): 65–72. doi : 10.1109 / MC.2002.1106181 .[ enlace muerto permanente ]
enlaces externos
Documentación
- Gobierno del Reino Unido
- ESTÁNDAR HMG INFOSEC NO. 2 Gestión de riesgos y acreditación de sistemas de información (2005)
- Referencias IA
- Lenguaje de marcado de esquema XML de garantía de la información
- Aseguramiento de la información de la Directiva 8500.01 del DoD
- Cuadro de políticas de DoD IA Cuadro de políticas de DoD IA
- Archivo de garantía de la información Archivo de garantía de la información
La garantía de la información también ha evolucionado debido a las redes sociales.