Seguridad informática y protección de datos

El autor Álvaro Gómez, en su obra Enciclopedia de la Seguridad Informática, define el concepto de seguridad informática como: “cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema.”

La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información,​ es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

Objetivos de la seguridad Informática:

1. Mejorar la percepción y confianza de los clientes y usuarios en lo que respecta a la calidad del servicio.
2. Cumplir la normativa sobre protección de datos.
3. Preservar la confidencialidad de los datos y la privacidad de clientes y usuarios.
4. Tener acceso a la información cuando se necesite y preservar la integridad de los datos.
5. Minimizar el número de incidentes.
6. Evitar interrupciones del servicio a causa de virus o ataques informáticos.

Para poder alcanzar los objetivos anteriormente descritos, la gestión de la seguridad informática debe llevar a cabo las siguientes funciones: 

1. Confidencialidad: es la capacidad de garantizar que la información solamente va a estar disponible para aquellas personas autorizadas, es decir, que personas ajenas no podrán acceder a la información e interpretación.
2. Disponibilidad: es la capacidad de garantizar que tanto el sistema como los datos van a estar disponibles para el usuario en todo momento.
3. Integridad: es la capacidad de garantizar que los datos no han sido modificados desde su creación sin autorización. Esta función es muy importante cuando, por ejemplo, estamos realizando trámites bancarios por Internet.
4. No repudio: garantiza la participación de las partes en una comunicación. En toda comunicación, existe un emisor y un receptor, por lo que podemos distinguir dos tipos de no repudio:
1. No repudio en origen: garantiza que la persona que envía el mensaje no puede negar que es el emisor del mismo, ya que el receptor tendrá pruebas del envío.
2. No repudio en destino: El receptor no puede negar que recibió el mensaje, ya que el emisor tiene pruebas de la recepción del mismo.

Gestión de la seguridad de la Información:

Un SGSI (Sistema de Gestión de Seguridad de la Información) proporciona un modelo para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la protección de los activos de información para alcanzar los objetivos de negocio.

La base de un SGSI reside en, conociendo el contexto de la organización, evaluar los riesgos y fijar los niveles determinados como adecuados por parte de la Dirección de la organización para la aceptación de un nivel de riesgo de modo que se puedan tratar y gestionar los riesgos con eficacia.

El análisis de los requisitos para la protección de los activos de información y la aplicación de controles adecuados para garantizar la protección de estos activos de información, según sea necesario, contribuye a la exitosa implementación de un SGSI

Los principios fundamentales que contribuyen a la implementación de SGSI son:

1. Entender la organización, su contexto y los elementos relevantes que podrían afectar a los objetivos del SGSI.
2. Entender las necesidades de las partes interesadas.
3. La asignación de responsabilidades y liderazgo para la seguridad de la información.
4. La formación y concienciación en seguridad de la información.
5. El compromiso y liderazgo de la Dirección.
6. Las evaluaciones de riesgos para determinar el estado actual y las estrategias adecuadas para asumir, transferir, evitar y/o reducir el riesgo para alcanzar los niveles aceptables de riesgo.
7. La seguridad incorporada como un elemento esencial de las redes y sistemas de información.
8. La prevención activa y detección de incidentes de seguridad de la información.
9. Asegurar un enfoque integral de gestión de seguridad de la información.
10. Una re-evaluación regular de la seguridad de la información y la aplicación de modificaciones según sea apropiado.
11. Un enfoque de mejora continua.

Fuentes:

https://www.ceupe.com/blog/seguridad-informatica-y-proteccion-de-datos.html

https://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica

https://instituciones.sld.cu/dnspminsap/category/seguridad-informatica/page/3/