Glosario de términos relacionados con la privacidad en Internet
Seguridad de la información
¿Qué es la seguridad de la información?
La seguridad de la información se refiere a las herramientas y procedimientos que adopta una organización para proteger la información y los sistemas asociados contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados. Todas las organizaciones manejan algún tipo de información, desde propiedad intelectual hasta documentos clasificados y datos de usuarios o clientes. Mantener esta información segura puede implicar tecnología, seguridad física y más.
La práctica de la seguridad de la información (InfoSec, por su abreviatura en inglés) abarca políticas y procedimientos, hardware, software, capacitación e infraestructura física. Empresas, gobiernos y otras organizaciones utilizan estas herramientas tanto para proteger la información de la que son responsables, como para asegurarse de que si algo sucede, puedan reducir el daño resultante de esa pérdida. La información protegida puede ser electrónica o física (archivos en papel, prototipos, etc.).
Los fundamentos de InfoSec
InfoSec es un campo amplio y complejo. Las herramientas y procedimientos específicos utilizados son únicos para cada organización, dependiendo de sus circunstancias y del tipo de información que protegen. Sin embargo, hay algunos principios que se aplican en todos los casos:
- La información necesita ser protegida de personas que no tienen derecho a ella
- La información debe ser precisa, actualizada y confiable
- La información debe ser accesible para quienes sí tienen derecho a ella, y para los encargados de mantener su precisión
Lograr los tres objetivos es un acto de equilibrio. Por un lado, hacer que la información sea difícil de acceder significa que las “personas incorrectas” no pueden acceder a ella (por ejemplo, los hackers). Pero si el acceso es demasiado difícil, las “personas correctas” (por ejemplo, los administradores del sistema) también tendrán dificultades para acceder. Esto, a su vez, puede significar que la información no esté bien mantenida. Un esfuerzo demasiado fuerte para cumplir con el primer objetivo puede significar no alcanzar el segundo.
El campo de la seguridad de la información no es lo mismo que la ciberseguridad. Más bien, la ciberseguridad se considera un área dentro de InfoSec, ya que la ciberseguridad se centra en proteger la información electrónica mientras que InfoSec involucra tanto información electrónica como no electrónica.
¿Contra qué protege InfoSec?
Las amenazas a los datos de una organización pueden provenir de muchas fuentes. Algunas son maliciosas e intencionales, como actores maliciosos que intentan robar información personal. Algunos riesgos pueden originarse por error humano o descuido. Independientemente de la fuente de la amenaza, los peligros son los mismos: se comprometen uno o más de los objetivos básicos de asegurar la información.
Las amenazas maliciosas pueden ser tanto electrónicas como físicas. Las amenazas físicas son principalmente el robo de recursos. Esto puede suceder en la propiedad de la organización o fuera de ella, como el robo de un portátil mientras se viaja. Hoy en día, la mayor amenaza es electrónica. Phishing y otras formas de ingeniería social pueden llevar a la instalación de malware y ransomware. Peligros como las botnets pueden lanzar ataques de DDoS (denegación de servicio) o usar software sofisticado de descifrado de contraseñas para “forzar” su entrada en sistemas seguros. Los ataques de intermediario pueden infiltrarse en la red de una organización y escuchar los mensajes que se transmiten a través de la red.
Los desastres naturales, fallos del sistema y errores humanos no son eventos maliciosos, pero tienen el potencial de causar tanto daño. Los procedimientos de InfoSec deben incluir planes para interrupciones del sistema, cortes de energía y daños a la infraestructura. La capacitación del personal puede ayudar a abordar los riesgos de errores humanos.
Elementos de protección de InfoSec
Las prácticas de InfoSec involucran varios elementos, incluyendo:
- Seguridad de aplicaciones: Protege los datos y sistemas contra vulnerabilidades de software y API. La seguridad de aplicaciones puede utilizar monitoreo de antivirus, cortafuegos y requisitos de contraseña/inicio de sesión fuertes.
- Encriptación de datos: Los datos encriptados solo pueden ser descifrados por aquellos que están autorizados y utilizan los canales aceptados para acceder a los datos. La mejor práctica es encriptar los datos tanto en tránsito como mientras están almacenados.
- Seguridad de la infraestructura: Este componente de InfoSec se enfoca en controlar quién tiene acceso físico a la información o los sistemas que almacenan y mantienen los datos. La seguridad de la infraestructura cubre quién puede acceder a lugares como edificios de oficinas y centros de datos, y cómo proteger cosas como laptops y dispositivos móviles contra robos.
- Seguridad en la nube: Con más organizaciones usando plataformas de datos remotas gestionadas por terceros, evaluar y monitorizar la seguridad de estos proveedores de servicios se ha convertido en un elemento importante de InfoSec.
- Capacitación humana: Las amenazas “internas” son consideradas el mayor desafío de InfoSec. Una amenaza interna simplemente significa que la amenaza se origina desde dentro de la organización. Puede ser actividad maliciosa, pero a menudo es accidental, como un correo electrónico enviado a la persona equivocada; un empleado haciendo clic en el enlace incorrecto y descargando Malware a través de phishing; o un ex empleado descontento reteniendo las credenciales de acceso. InfoSec aborda algunas de estas amenazas a través de la capacitación del personal: cómo funcionan los procesos de seguridad, por qué necesitan ser seguidos, y la participación del empleado en mantener una buena seguridad.
- Planes de respuesta: Tomar los pasos discutidos anteriormente disminuirá el riesgo de un ataque exitoso, pero no pueden eliminar completamente el riesgo. Es importante tener planes de respuesta para saber qué hacer si hay un ataque exitoso. Estos planes abordan cómo recuperar datos perdidos o comprometidos, y cómo la organización puede continuar funcionando mientras se recupera.
- Monitoreo: Los ataques a los sistemas de información siempre están cambiando. Una organización necesita monitorear su proceso de InfoSec para la efectividad y actualizar según sea necesario para mejorar los resultados y prepararse para nuevos tipos de amenazas.
El programa de InfoSec de una organización está adaptado para satisfacer sus necesidades individuales. Sin embargo, también pueden ser influenciados por fuerzas externas, como regulaciones. El RGPD y HIPAA son dos ejemplos de regulaciones que dictan estándares a cumplir.
¿Cómo puedo saber que mis datos están siendo protegidos?
Como individuo, tienes una influencia limitada sobre los protocolos de seguridad de una organización externa. Una vez que tus datos están en la base de datos de otra persona, tienes que confiar en sus programas de InfoSec para mantenerlos seguros ante eventos como una violación de datos. Sin embargo, puedes tener cuidado sobre dónde y cuándo proporcionar tus datos personales, de modo que estén menos expuestos desde el principio:
- Usa contraseñas diferentes para cada sitio y aplicación. Usa un Gestor de contraseñas para almacenar de forma segura todas tus contraseñas y generar contraseñas aleatorias y únicas para cada cuenta y sitio web que accedes. Si todas tus contraseñas son diferentes, es mucho más probable que una filtración que exponga una contraseña solo comprometa esa cuenta.
- Minimiza la cantidad de lugares en los que se almacenan tus datos, para así reducir la posible exposición al robo de datos. Por ejemplo, configura pagos automáticos a través del sistema de pago de tu banco en lugar de en cada sitio web de cuenta. Esto reduce la cantidad de bases de datos en las que se almacena la información de tu cuenta bancaria.
- No proporciones tus datos a organizaciones que parecen querer recolectar más datos de los necesarios, o que tienen un historial deficiente de seguridad de la información.
- Habilita la autentificación en dos factores (2FA), o la autenticación multifactor, en cada cuenta que lo soporte. (Esto usualmente es un código numérico único y de una sola vez que también es requerido antes de que puedas acceder a tu cuenta en un sitio o aplicación). Incluso si una violación de datos expone tu contraseña, aquellos que obtengan tu contraseña no tendrán la segunda parte requerida de tu inicio de sesión (o factor), y por lo tanto, todavía estarán bloqueados para acceder a tus cuentas. En general, la 2FA basada en SMS tampoco se recomienda a menos que sea la única opción disponible. La 2FA basada en SMS es susceptible a ataques que la hacen menos segura que otras opciones.
Usar un navegador con fuertes protecciones de privacidad y seguridad, como el navegador Brave, también limitará el riesgo de que tus datos lleguen a manos equivocadas:
- El navegador Brave incluye Safe Browsing, que puede ayudar a prevenir violaciones de datos al proteger contra sitios web maliciosos.
- El bloqueador de anuncios incorporado de Brave—Escudos de Brave—puede bloquear anuncios maliciosos y engañosos, en parte a través del uso de listas de filtros. También es más seguro que las extensiones del navegador, que pueden introducir nuevos riesgos de seguridad.
Brave actualiza automáticamente las conexiones a HTTPS más seguras, lo que significa que tus datos están encriptados durante la transferencia. Si bien esto no garantiza que tus datos estén almacenados encriptados, puede mejorar las probabilidades. Solo verifica que la URL comience con https:// (no con “http://”) para estar seguro.