Hagámonos una pregunta en apariencia sencilla: ¿qué es la seguridad de la información?
Por el momento, no responda a la pregunta y vayamos un poco más lejos. Imaginemos que esa pregunta se la hacemos a un ciudadano de a pie.
¿Qué es para usted la seguridad de la información?
Si en nuestras calles planteáramos este ejercicio, muy posiblemente recibiríamos contestaciones de lo más variopintas entre las cuales destacaría una sobre el resto: “que no te roben la información”.
No en vano, el concepto de la seguridad a menudo se asocia al robo de datos; y la información no es más que un valor susceptible de ser sustraído —se encuentre en el formato que se encuentre.
Sin embargo, la información tiene algunas otras propiedades que también están asociadas al concepto de seguridad. Propiedades que a menudo pasamos por alto y que, pese a todo, son clave a la hora plantear su protección.
La triada CID
Cuando hablamos de datos e información en ciberseguridad lo solemos hacer en torno a tres ejes fundamentales: confidencialidad, integridad y disponibilidad.
Podríamos definirla como la “Triada CID”. Pero ¿qué significan estos conceptos?
La confidencialidad es una condición que hace que la información sea accesible únicamente por las personas que se encuentran autorizadas a conocerla. Es decir, expresa la necesidad de mantener en secreto determinada información con el objetivo de prevenir su divulgación no autorizada.
A menudo, se entiende mejor cuando se intenta establecer los diferentes niveles entre los que se puede compartir una información: secreta, restringida, pública… de forma que esta se mueva solo dentro de los cauces autorizados. Esta es posiblemente la propiedad más asumida por muchas personas.
Sin embargo, la seguridad de la información también se basa en otras propiedades.
Empecemos por su integridad. Esta propiedad implica que la información se mantiene inalterada ante accidentes o intentos de modificación malintencionados. Por ejemplo, un cambio en los importes de una factura o en los datos privados de una persona pueden tener consecuencias catastróficas para la víctima. Por tanto, la integridad, es decir la protección frente a modificaciones no autorizadas de la información, también es seguridad.
Pero aún hay más. La seguridad de la información además viene determinada por su disponibilidad; esto es, conseguir que la información esté accesible cuando la necesitemos. La seguridad de la información está íntimamente relacionada con su usabilidad y si por casualidad deja de serlo, de nada servirá hablar de que es secreta o que personas no autorizadas pueden modificarlas; simplemente dejará de servir para nada.
Riesgos y amenazas a la seguridad de la información
Como hemos dicho, estas tres propiedades se conocen como la triada “CID” de la seguridad de la información y conforman los puntos de referencia para evaluar los riesgos y amenazas a los que nos enfrentamos como ciudadanos o como empresas cuando tratamos con información. Cualquier infracción sobre estas propiedades supone una violación de su seguridad.
Por eso, en torno a ellas, habitualmente se articula todo un conjunto de normas, procedimientos y técnicas que tienden a protegerla. En las empresas a este conjunto se le conoce como el Sistema de Gestión de la Seguridad de la Información. Desafortunadamente entre los ciudadanos de a pie aún no le hemos dado un nombre, más allá de asociarlas al concepto de concienciación. Quizás y a modo de sugerencia, poco a poco debamos acostumbrarnos también a usar esta denominación: gestión de la seguridad de la información.
Concienciación sobre la seguridad de la información
Volvamos en este momento a la idea inicial. Pensemos en los robos, las alteraciones malintencionadas o en la imposibilidad de acceder a nuestros datos. Ahora definitivamente entenderemos que todas son posibilidades reales de alterar la seguridad de la información.
Imaginemos los errores humanos o los fallos intencionados que afectan a la seguridad de los datos que nos importan: un error al enviar información a alguien, una cesión intencionada a terceros de datos que no debería tener, un accidente o un acto vandálico que nos deja sin poder acceder a nuestra información privada. Todas son posibilidades reales que pueden producirse, y de hecho se producen.
Si pensamos en nuestros empleos cotidianos, cuando teletrabajamos, por ejemplo, también asumimos riesgos con la información. Tener acceso a datos de nuestra compañía desde nuestros domicilios implica riesgos de seguridad que ni siquiera nos planteamos cuando estamos trabajando en la oficina. Las conexiones son remotas y por tanto pueden ser interceptadas por los ciberdelincuentes, los ordenadores quedan accesibles a muchas personas ajenas a la compañía; los equipos profesionales se utilizan para actividades personales; las medidas de seguridad se relajan y las posibilidades de robo pueden verse incrementadas…. Todas son situaciones que ponen en riesgo la seguridad de la información.
Por eso, nuestra actitud y conocimientos de la seguridad pueden marcar la diferencia. Saber que la seguridad de la información afecta no solo a su confidencialidad sino también a su integridad y a su disponibilidad puede sernos de utilidad a la hora de utilizarlas o permitir que terceros que la utilicen. Por eso mismo, recordar que la seguridad de la información recae en una triada que llamamos “CID” puede cambiar nuestra forma de plantear su protección.
Sirvan pues estas líneas como sencillo recordatorio.
