Proteger la información de una organización comienza por comprender qué es un dato, cómo se transforma en información y cuáles son los principios que garantizan su resguardo. La norma ISO 27001 establece tres pilares fundamentales que toda estrategia de seguridad debe cumplir: confidencialidad, integridad y disponibilidad. A continuación se explican estos conceptos y su relevancia para cualquier negocio.
¿Cuál es la diferencia entre datos e información?
Antes de hablar de seguridad, es necesario distinguir dos conceptos que suelen confundirse. Los datos son símbolos que representan hechos, situaciones o cualquier elemento relevante dentro de un proceso de negocio [0:14]. Sin embargo, mientras esos datos no sean procesados, no pueden denominarse información.
Para que los datos se conviertan en información deben pasar por un proceso de transformación en el que se relacionan entre sí y adquieren significado útil para la toma de decisiones [0:40]. El flujo es sencillo:
- Un sistema de información recibe una entrada con datos.
- Esos datos sufren un procesamiento.
- El resultado es la información que el negocio utiliza para definir estrategias.
Este concepto es la base de todo lo que viene después: si no entiendes el ciclo dato-procesamiento-información, difícilmente podrás protegerlo.
¿Qué significa seguridad de la información según ISO 27001?
La seguridad de la información es el conjunto de medidas, lineamientos y políticas que una organización define para resguardar su activo más valioso [1:10]. Hoy, la información es el recurso sobre el cual se toman decisiones estratégicas y se construyen las ventajas competitivas de una compañía.
Como responsable de seguridad, tu objetivo es velar por que la información no sufra alteraciones indebidas y esté disponible cuando el negocio la necesite. Para lograrlo, la norma ISO 27001 plantea la llamada tríada de la seguridad, compuesta por tres principios inseparables [1:45].
¿Qué es la confidencialidad?
La confidencialidad establece que los datos solo deben ser accedidos por personas debidamente autorizadas [2:05]. Un ejemplo clásico es el proceso de nómina: únicamente el analista de nómina y quienes participan directamente en ese proceso necesitan conocer los salarios de los funcionarios. Si alguien del área de sistemas o de selección accede a esa información sin justificación, se está violando este principio.
¿Qué implica la disponibilidad de los datos?
La disponibilidad exige que los datos estén accesibles en el momento en que el negocio los requiera [2:50]. Siguiendo el mismo ejemplo, si el día de pago la información de nómina no está disponible por un fallo del sistema o una restauración de backup fallida, se rompe este principio. Tu labor como responsable de seguridad es garantizar que ningún incidente técnico deje al negocio sin acceso a su información crítica.
¿Cómo se protege la integridad de la información?
La integridad se refiere a que los datos pueden y deben ser modificados dentro de los procesos normales de la organización, pero esos cambios tienen que ser realizados por usuarios legítimamente autorizados y registrados en el sistema de información [3:20]. Un proceso de negocio normal transforma la información porque es necesario dentro de su flujo; lo que no debe ocurrir es una alteración fuera de ese contexto autorizado.
¿Por qué los tres principios son igualmente importantes?
Ninguno de los tres pilares tiene mayor peso que los demás. Si cualquiera de ellos falla, la tríada se rompe y el sistema de gestión de seguridad queda comprometido [3:55]. Por eso, las políticas y estrategias deben diseñarse para cumplir los tres simultáneamente:
- Confidencialidad: acceso restringido a quienes lo necesitan.
- Disponibilidad: información accesible cuando el negocio la solicita.
- Integridad: cambios realizados solo por usuarios y procesos autorizados.
Cumplir la tríada de seguridad es la base sobre la cual se construye un sistema de gestión de seguridad de la información (SGSI) alineado con ISO 27001. Si quieres profundizar en cómo se estructura ese sistema, comparte tus dudas y sigue explorando los siguientes contenidos.
