Cuando se la relaciona con tecnologías de información y comunicación, la palabra “seguridad” tiene varias connotaciones. En inglés, se usan dos términos: “security” y “safety”. Ambos dan consideración a los riesgos y tienen que ver con protección contra peligros y pérdidas.
En “security” se da énfasis a la protección contra el peligro que se origina “desde afuera” con la intención de provocar algún daño. En “safety”, se trata de estar protegido de los daños que son consecuencia de errores, fallas, accidentes, equivocaciones u otros sucesos que carecen de una provocación intencional (e.g. terremotos, inundaciones, cortocircuitos provocados por un animal). Hoy daremos consideración a la seguridad ante agentes maliciosos (esto es, “security”).
Los principales elementos de la seguridad son:
1. Confidencialidad: “asegurar que la información es accesible solamente a aquellos que tienen acceso autorizado” (según la ISO). Las técnicas criptológicas ayudan a implementar este tipo de protección.
2. Integridad: los datos se mantienen inalterados al transmitirse, almacenarse y recuperarse, pudiendo ser alterados únicamente por aquellos autorizados expresamente.
3. Disponibilidad: el grado en que un sistema está en condiciones de dar servicio, cuando este se requiere en un momento arbitrario.
Cuando las computadoras empresariales estaban aisladas del resto del mundo, las consideraciones de seguridad eran menores, pues era imposible acceder a la computadora desde fuera de las instalaciones físicas. Al proliferar las comunicaciones de datos, las redes externas, las computadoras personales y el intercambio de archivos en medio magnético, y -particularmente- la conexión a Internet, la escena se ha complicado y la preocupación por la seguridad ha crecido considerablemente, exacerbándose con los dispositivos móviles y las comunicaciones inalámbricas; los temas relacionados con seguridad aparecen consistentemente entre los primeros en las votaciones del Club de Investigación Tecnológica.
El diseño de sistemas de información seguros y la administración de la seguridad de la información son ahora temas especializados que requieren estudio así como consideraciones organizacionales y culturales. El eslabón más débil de la cadena es el más vulnerable: un atacante puede encontrarlo y causar daño, mientras que el defensor debe identificar todas las vulnerabilidades y protegerse ante cualquier ataque.
El conocimiento y aplicación de estándares como el ISO/IEC 17799 y la obtención de certificaciones como las de EC Cuncil o de Cisco contribuyen a mejorar la administración de la tecnología y la información en las organizaciones.
Artículo publicado en el periódico El Financiero
