Comparte esta entrada

La integridad de los datos: el aspecto más relegado de la seguridad de la información

La integridad de los datos: el aspecto más relegado de la seguridad de la información 


El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación del servicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos).
El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar equipos físicos y modificar las indicaciones de los operadores a cargo de la supervisión, para impedir, de este modo, que se identificara cualquier anomalía en los equipos.1 Si esta modalidad de ataque a la integridad de los datos (denominado también “ataque semántico”) se hubiera replicado en otros sistemas, podría haber causado problemas graves en infraestructuras informáticas de importancia crítica, como las de servicios públicos, servicios de urgencia, control de tráfico aéreo y cualquier otro sistema que dependa en gran medida de la TI y resulte indispensable para la sociedad. El gobierno de la información es un factor esencial para la consolidación de la integridad de los datos.
Un artículo publicado recientemente en ISACA Journal presenta una infraestructura de gobierno de datos desarrollada por Microsoft para garantizar la privacidad, la confidencialidad y el cumplimiento normativo. El artículo analiza las funciones que desempeñan las personas, los procesos y la tecnología; el ciclo de vida de los datos; y los principios de privacidad y confidencialidad de la información. También incluye enlaces a trabajos más pormenorizados sobre la informática de confianza (o trustworthy computing).
En el presente trabajo se ampliará el análisis de estos temas, enfocándose en la integridad de los datos, las normas y los procedimientos recomendados a los que esta debe ajustarse, y la función del gobierno de datos. Este artículo también presenta un marco para el gobierno de datos sin control exclusivo.
De los tres principales dominios de la seguridad de la información, el de la disponibilidad es el que se encuentra más estrechamente ligado a la tecnología y es posible su medición. El tiempo improductivo (downtime) es visible y puede expresarse como valor absoluto (por ejemplo, en minutos por incidente) o como porcentaje, y no se requiere demasiado esfuerzo para entender que una disponibilidad de “cinco nueves” (99,999 por ciento) representa en total unos cinco minutos de tiempo improductivo acumulado en un año.
Los operadores de los centros de datos saben lo que se necesita para alcanzar este valor.
La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías —como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la necesidad que tiene una empresa de protegerlos.
No es conveniente que los técnicos que se encargan de la infraestructura y servicios de TI se ocupen de realizar esta clasificación, ya que probablemente no tengan un conocimiento cabal del negocio y, en caso de emplearse la modalidad de externalización (outsourcing) o un sistema de computación en la nube (cloud computing), es posible que además no pertenezcan a la empresa. Por lo tanto, el control y el proceso de clasificación de datos debe quedar en manos del personal del negocio, mientras que los proveedores de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los procesos necesarios, como son los controles para la gestión de accesos e identidades (Identity Access Management o IAM) y la encriptación.
El método más sencillo para medir la confidencialidad tiene una lógica binaria: el carácter confidencial de la información
puede haberse preservado (si la información no se ha divulgado) o no (si se ha divulgado). Lamentablemente, este método no resulta demasiado útil, ya que no refleja los efectos de la divulgación de los datos, que abarcan desde situaciones bochornosas hasta atentados contra la seguridad nacional.
Si analizamos la noción de integridad, la situación se torna más compleja, porque se trata de un concepto que puede tener distintas interpretaciones. Este es un terreno fértil para los problemas de comunicación y los malentendidos, con el consiguiente riesgo de que una actividad no se lleve a cabo satisfactoriamente por las confusiones en torno a las responsabilidades pertinentes.

0 comentarios:

Publicar un comentario