cia-informacion-iso27001
  • 2,9K lecturas

Confidencialidad, Integridad y Disponibilidad de la información en trabajo remoto

Es ampliamente conocido que el robo de información mayormente se debe a errores humanos. La falta de educación y concientización al usuario lo expone a ataques de Suplantación de identidad…
  • 12 de agosto de 2021
Escuche este artículo

El Covid-19 fue anunciado mundialmente por la Organización Mundial de Salud (OMS) a fines del 2019, sin embargo, social, empresarial y organizacionalmente no se tomó muy en serio tal anuncio y continuamos con nuestra vida cotidiana y laboral, hasta que en marzo 2020 se dieron disposiciones de confinamiento parcial y total en muchos países y empezaron los retos para las áreas de Tecnología de la información (TI) de cada organización.

¿De qué retos hablamos? Principalmente se debía brindar a los usuarios acceso a su información de forma viable y fácil bajo la nueva modalidad de trabajo remoto.

La pandemia y el trabajo remoto permitieron desvelar diferentes realidades:

  • Organizaciones que ya utilizaban servicios de almacenamiento en la Nube y que tuvieron una transición más rápida para atender los requerimientos de acceso a la información;
  • Organizaciones iniciando su travesía hacia la Nube y que tuvieron que aminorar los tiempos de implementación para compartir la información;
  • Organizaciones sin preparación y sin servicios contratados en la Nube.

Se volvió recurrente el uso de aplicaciones de Escritorio Remoto para ingresar a la computadora de la oficina y acceder a la información cuya raíz principal residía en un Servidor de Archivos (File Server) dentro de una Red de Área Local (LAN).

Las aplicaciones VPN (Red Privada Virtual) también lograron consolidarse como un medio seguro y muy utilizadas para el acceso a la información.

Paralelamente se duplicaron esfuerzos para lograr que los usuarios remotos puedan disponer de la información en cualquier momento (Disponibilidad), manteniendo criterios de quienes deben acceder a ella (Confidencialidad) y garantizando que no ocurra la pérdida o modificación por algún ataque externo o interno (Integridad). Estos 3 términos componen la denominada triada de la seguridad de la información o CIA Confidencialidad (Confidentiality), Integridad (Integrity) y Disponibilidad (Availability).

Sin embargo, hay cosas que escaparon al control que se tenía dentro de una red de comunicaciones corporativa y es el control de los dispositivos.

Muchos usuarios llevaron a casa sus computadoras de oficina o se les asignó computadoras portátiles. Por otro lado, un grupo numeroso de usuarios utilizó y sigue utilizando computadoras personales con Sistemas operativos, antivirus y aplicaciones ofimáticas diferenciadas, lo cual conlleva a un riesgo de contagio de virus, ataques diversos y robo de información que puede comprometer no solo el equipo sino la información en sí.

  1. La Confidencialidad, permite mantener la privacidad de los datos y que solo usuarios autorizados pueden acceder a ella.

Es ampliamente conocido que el robo de información mayormente se debe a errores humanos. La falta de educación y concientización al usuario lo expone a ataques de Suplantación de identidad (Phishing), cuyo objetivo es el robo de contraseñas bancarias e información de alta importancia para luego aplicar un ataque de extorsión (Ransonware)

¿Qué medidas debemos tomar ante tal situación? Las principales serian la gestión adecuada de las contraseñas (contraseñas robustas y aplicaciones de gestión de contraseñas), doble autenticación y la recurrente concientización a los usuarios sobre las diversas formas de ataque al que están expuestos.

  • La Integridadestá referida a que la información no pueda ser modificada ni dañada.

Un ciber atacante puede utilizar diferentes vectores de ataque para romper la seguridad de una computadora o Servidor. Uno de los ataques más conocidos es el Hombre en el medio (Man in the middle) donde se intercepta las comunicaciones enviadas entre emisor y receptor con alta probabilidad de modificar o dañar la información.

El uso de encriptación es fundamental, conjuntamente con el uso de firmas y certificados digitales que permitirán reforzar la barrera de seguridad ante un eventual ataque.

  • En la Disponibilidad se garantiza que la información esté disponible en cualquier momento y en cualquier lugar.

La redundancia permite hacerlo posible. Este término hoy por hoy es altamente utilizado y aplicado a Servidores, Dispositivos de comunicaciones y el hardware que comprende la infraestructura de datos. Hay muchos factores que podrían originar la caída de los servicios como un corte de energía o de internet. Para eso sirve la redundancia. Estar preparados ante eventos adversos, manteniendo la operatividad del servicio.

A ciencia cierta no sabemos cuándo acabara la pandemia y se especula que nada será igual, pero lo que si esta muy claro es que la Transformación Digital ha permitido a muchas organizaciones dar el salto a la sistematización y eso esta ayudando a que las transiciones a la Nube sean más rápidas y efectivas.

Queda claro también que el trabajo actual se mide por resultados y no por cantidad de horas en una oficina. El trabajo remoto llegó para quedarse y eso significará que donde nos encontremos debemos tener la información a disposición de manera segura y confiable.

El estar fuera de un entorno corporativo que contaba con todas las medidas, aplicaciones y políticas de seguridad nos obliga a actuar con mayor responsabilidad en el correcto uso del Internet, principal medio de contagio en la actualidad.

Fotografía por Sven Brandsma / Unsplash.com

Ingeniero de Sistemas de la Universidad Peruana Unión. Diplomado en Gestión de Seguridad de la Información. Lead Cybersecurity Professional y Certified Network Security Specialist. Experiencia profesional en organizaciones como IBM, RICOH, UNAB entre otros. Actualmente Director de Sistemas de Información en Florida Gaming S.A.C y Administrador de Sistemas de la Sociedad Nacional de Industrias (SNI).

Temas relacionados
Le podría interesar