integridad
Páginas: 21 (5028 palabras)
Publicado: 15 de octubre de 2013
La integridad de los datos: el aspecto más relegado de la seguridad de la información
El Dr. Ed Gelbstein
El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación delservicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos).
El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar equipos físicos y modificar lasindicaciones de los operadores a cargo de la supervisión, para impedir, de este modo, que se identificara cualquier anomalía en los equipos.1 Si esta modalidad de ataque a la integridad de los datos (denominado también “ataque semántico”) se hubiera replicado en otros sistemas, podría haber causado problemas graves en infraestructuras informáticas de importancia crítica, como las de servicios públicos,servicios de urgencia, control de tráfico aéreo y cualquier otro sistema que dependa en gran medida de la TI y resulte indispensable para la sociedad. El gobierno de la información es un factor esencial para la consolidación de la integridad de los datos.
Un artículo publicado recientemente en ISACA Journal presenta una infraestructura de gobierno de datos desarrollada por Microsoft para garantizarla privacidad, la confidencialidad y el cumplimiento normativo. El artículo analiza las funciones que desempeñan las personas, los procesos y la tecnología; el ciclo de vida de los datos; y los principios de privacidad y confidencialidad de la información. También incluye enlaces a trabajos más pormenorizados sobre la informática de confianza (o trustworthy computing).2
En el presente trabajo seampliará el análisis de estos temas, enfocándose en la integridad de los datos, las normas y los procedimientos recomendados a los que esta debe ajustarse, y la función del gobierno de datos. Este artículo también presenta un marco para el gobierno de datos sin control exclusivo.
De los tres principales dominios de la seguridad de la información, el de la disponibilidad es el que se encuentra másestrechamente ligado a la tecnología y es posible su medición. El tiempo improductivo (downtime) es visible y puede expresarse como valor absoluto (por ejemplo, en minutos por incidente) o como porcentaje, y no se requiere demasiado esfuerzo para entender que una disponibilidad de “cinco nueves” (99,999 por ciento) representa en total unos cinco minutos de tiempo improductivo acumulado en un año.Los operadores de los centros de datos saben lo que se necesita para alcanzar este valor.
La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías —como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la necesidad que tiene una empresa de protegerlos.
No esconveniente que los técnicos que se encargan de la infraestructura y servicios de TI se ocupen de realizar esta clasificación, ya que probablemente no tengan un conocimiento cabal del negocio y, en caso de emplearse la modalidad de externalización (outsourcing) o un sistema de computación en la nube (cloud computing), es posible que además no pertenezcan a la empresa. Por lo tanto, el control y elproceso de clasificación de datos debe quedar en manos del personal del negocio, mientras que los proveedores de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los procesos necesarios, como son los controles para la gestión de accesos e identidades (Identity Access Management o IAM) y la encriptación.
El método más sencillo para medir la confidencialidad tiene una...
La integridad de los datos: el aspecto más relegado de la seguridad de la información
El Dr. Ed Gelbstein
El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación delservicio) y a introducir software malintencionado (malware) que permita a un tercero manipular datos e información sin autorización (por ejemplo, para robar, divulgar, modificar o destruir datos).
El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar equipos físicos y modificar lasindicaciones de los operadores a cargo de la supervisión, para impedir, de este modo, que se identificara cualquier anomalía en los equipos.1 Si esta modalidad de ataque a la integridad de los datos (denominado también “ataque semántico”) se hubiera replicado en otros sistemas, podría haber causado problemas graves en infraestructuras informáticas de importancia crítica, como las de servicios públicos,servicios de urgencia, control de tráfico aéreo y cualquier otro sistema que dependa en gran medida de la TI y resulte indispensable para la sociedad. El gobierno de la información es un factor esencial para la consolidación de la integridad de los datos.
Un artículo publicado recientemente en ISACA Journal presenta una infraestructura de gobierno de datos desarrollada por Microsoft para garantizarla privacidad, la confidencialidad y el cumplimiento normativo. El artículo analiza las funciones que desempeñan las personas, los procesos y la tecnología; el ciclo de vida de los datos; y los principios de privacidad y confidencialidad de la información. También incluye enlaces a trabajos más pormenorizados sobre la informática de confianza (o trustworthy computing).2
En el presente trabajo seampliará el análisis de estos temas, enfocándose en la integridad de los datos, las normas y los procedimientos recomendados a los que esta debe ajustarse, y la función del gobierno de datos. Este artículo también presenta un marco para el gobierno de datos sin control exclusivo.
De los tres principales dominios de la seguridad de la información, el de la disponibilidad es el que se encuentra másestrechamente ligado a la tecnología y es posible su medición. El tiempo improductivo (downtime) es visible y puede expresarse como valor absoluto (por ejemplo, en minutos por incidente) o como porcentaje, y no se requiere demasiado esfuerzo para entender que una disponibilidad de “cinco nueves” (99,999 por ciento) representa en total unos cinco minutos de tiempo improductivo acumulado en un año.Los operadores de los centros de datos saben lo que se necesita para alcanzar este valor.
La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene alguna utilidad cuando los datos y documentos han sido clasificados en categorías —como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la necesidad que tiene una empresa de protegerlos.
No esconveniente que los técnicos que se encargan de la infraestructura y servicios de TI se ocupen de realizar esta clasificación, ya que probablemente no tengan un conocimiento cabal del negocio y, en caso de emplearse la modalidad de externalización (outsourcing) o un sistema de computación en la nube (cloud computing), es posible que además no pertenezcan a la empresa. Por lo tanto, el control y elproceso de clasificación de datos debe quedar en manos del personal del negocio, mientras que los proveedores de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los procesos necesarios, como son los controles para la gestión de accesos e identidades (Identity Access Management o IAM) y la encriptación.
El método más sencillo para medir la confidencialidad tiene una...
Leer documento completo
Regístrate para leer el documento completo.