¿Qué es la seguridad de la información?

La seguridad de la información es el proceso de protección de toda la información de la empresa, ya sea en formato digital o físico. Las organizaciones protegen la información relacionada con sus operaciones y clientes para mantener la reputación de la marca, la confianza de los clientes y el cumplimiento de las normativas. La seguridad de la información describe los procesos, las herramientas y las tecnologías que ayudan a garantizar que toda la información se vea, copie, modifique o destruya únicamente después de la autorización correspondiente.

La seguridad de la información ayuda a las organizaciones a garantizar la integridad, la disponibilidad y la confidencialidad de sus datos privados y sistemas empresariales. Hay varias razones por las que la seguridad de la información es importante.

Permitir la continuidad de la empresa

Los sistemas de información eficaces permiten que las empresas mantengan acceso sin interrupciones a los datos y sistemas, incluso durante los eventos de seguridad inesperados. La planificación de la continuidad de la empresa implica el uso de una variedad de software de seguridad, la creación de políticas a seguir durante los eventos y la implementación de medidas de seguridad técnicas que ayuden a proteger a una organización.

Fomentar la confianza de los clientes

La seguridad de la información reduce la probabilidad de que se produzcan eventos de seguridad inesperados, lo que permite a las empresas brindar un servicio ininterrumpido a los clientes. Cuando las organizaciones tienen un historial de cumplir constantemente con la gobernanza, seguir las prácticas recomendadas e implementar prácticas de desarrollo seguras, demuestran a los clientes que se toman en serio los datos de los usuarios y que los protegerán.

Mitigar los riesgos de seguridad

Dependiendo del sector en el que opere una empresa, puede haber varios riesgos potenciales que se deben tener en cuenta. La seguridad de la información ayuda a implementar controles técnicos y procedimentales para administrar y mitigar los riesgos.

Las organizaciones pueden integrar una nueva tecnología de administración de la seguridad que reduce la probabilidad de que se produzcan eventos de seguridad inesperados y mejora la capacidad de la empresa para administrar los riesgos.

Proteger la reputación de la marca

La seguridad de la información protege la reputación de una marca al mejorar su capacidad de prestar servicios de manera fiable, proteger la privacidad de los clientes y satisfacer las demandas operativas. La aparición de eventos de seguridad inadvertidos puede dañar la reputación de una marca; sin embargo, las prácticas eficaces en materia de seguridad de la información reducen la probabilidad de que esto suceda.  

Hay varios principios clave de la seguridad de la información que siguen todas las empresas.

Confidencialidad

La confidencialidad ayuda a garantizar que los datos empresariales privados solo sean accesibles para quienes tengan autorización. Este principio es tanto técnico como físico, ya que puede implementar controles de acceso para los archivos digitales y también evitar que personas no autorizadas accedan a una oficina. La confidencialidad también se extiende al uso del cifrado, la protección de los datos en tránsito y en reposo y la garantía de que todos los datos de la empresa estén protegidos.

Integridad

La integridad hace referencia a la precisión, fiabilidad y coherencia de los datos a lo largo de su ciclo de vida dentro de una empresa. Este principio tiene como objetivo proteger los datos al garantizar que sean precisos y que no se hayan modificado sin el conocimiento de sus propietarios. Reforzar la integridad de los datos en los sistemas de información consiste en incluir firmas de datos digitales, utilizar hash criptográfico, almacenar datos en libros mayores inmutables y validar los datos a lo largo de su ciclo de vida.

Disponibilidad

La disponibilidad ayuda a garantizar que los usuarios autorizados tengan acceso a los datos que necesitan, sin demoras ni interrupciones. Este principio busca implementar estrategias de copia de seguridad y recuperación para que se pueda acceder a los datos en cualquier momento. Además, la disponibilidad implica la protección contra las interrupciones de terceros, la supervisión del estado del almacenamiento en los centros de datos y el diseño de la tolerancia a errores en la arquitectura de datos.

Repudiación cero

La repudiación cero ayuda a garantizar que se rastreen, controlen y registren todas las medidas tomadas con respecto a los datos. Al integrar la repudiación cero en los sistemas de seguridad de la información, las empresas desarrollan un registro auditable detrás de cada dato. Cada vez que un usuario interactúa con la información, la cambia, accede a ella o aprueba su movimiento o modificación, todos estos factores se registran en un libro mayor inmutable.

Garantía de la información

La garantía de la información es la práctica de proteger los sistemas de información garantizando la compatibilidad con las operaciones de misión crítica. Este es un principio más amplio que implica la evaluación y el cumplimiento de marcos de seguridad como la norma ISO 27001, la administración activa de cualquier riesgo emergente, las pruebas periódicas de los sistemas de seguridad y la supervisión continua de posibles amenazas. 

Un sistema de administración de la seguridad de la información (SGSI) define cómo una organización administra la seguridad de la información a lo largo de todo el ciclo de vida de los datos. Por lo general, este sistema define cómo funcionan las personas, los procesos y la tecnología para proporcionar controles de seguridad integrales para todos los sistemas de información de la empresa.

Los estándares y marcos internacionales brindan orientación descriptiva y prescriptiva para ayudar a las organizaciones con la seguridad de la información y los datos como parte de un programa de cumplimiento. A continuación, ofrecemos algunos ejemplos de estándares y marcos que su organización puede seguir.

ISO-27001

La norma ISO-27001 gira en torno a cuatro temas principales: mejoras de seguridad organizacional, personal, física y tecnológica. Cada una de estas categorías busca mejorar la seguridad de una manera diferente, como, por ejemplo:

• Realización de formaciones de seguridad para los empleados sobre el aspecto de la seguridad personal.
• Implementar políticas estrictas de control de acceso para las oficinas sobre el tema de la seguridad física.
• Implementar el cifrado para los datos en reposo y en tránsito sobre el tema de la seguridad tecnológica.

Cada uno contribuye a un estándar más alto de seguridad de la información.

• AWS cuenta con la certificación de cumplimiento con las normas ISO/IEC 27001:2022. Internamente, esto significa que evaluamos sistemáticamente los riesgos de seguridad de la información, teniendo en cuenta el impacto de las amenazas y vulnerabilidades.
• Diseñamos e implementamos un conjunto completo de controles de seguridad de la información y otros mecanismos de gestión de riesgos para afrontar los riesgos de seguridad a los que están expuestos el cliente y la arquitectura.
• Disponemos de un proceso general de administración para ayudar a garantizar que los controles de seguridad de la información satisfagan nuestras necesidades de manera continua.

PCI-DSS

PCI-DSS es otro estándar ampliamente utilizado que ayuda a garantizar que cualquier pago con tarjeta se realice de manera segura, incluido el almacenamiento, la transmisión y el procesamiento de los datos financieros. Las entidades que almacenan, procesan o transmiten datos de titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD), incluidos comerciantes, procesadores, adquisidores, emisores y proveedores de servicios, deben certificarse según el estándar PCI-DSS.

Puede consultar la lista de servicios de AWS en el ámbito actual de PCI-DSS.

HIPAA/HITECH

La HIPAA (Ley de Portabilidad y Responsabilidad de Seguros de Salud) es una ley federal de EE. UU. que ayuda a garantizar la protección de la información de salud personal (PHI), garantizar la confidencialidad de los datos y evitar la divulgación no autorizada. La HIPAA se aplica a las “entidades cubiertas” (planes de salud, centros de intercambio de información de salud y proveedores de atención médica que transmiten información de salud electrónicamente) y a sus socios comerciales.

Puede consultar la lista de servicios de AWS en el ámbito actual de la HIPAA.

FedRAMP

FedRAMP (el Programa Federal de Administración de Riesgos y Autorizaciones) es un programa del gobierno de EE. UU. cuyo objetivo es estandarizar la supervisión continua, la autorización y la evaluación de la seguridad de los productos y servicios en la nube que utilizan las agencias federales.

Puede consultar la lista de servicios de AWS en el ámbito actual de FedRAMP.

RGPD

El RGPD (Reglamento General de Protección de Datos) es un marco legal de la UE que protege los datos de los residentes de la UE. Es un estándar internacional, ya que cualquier empresa que quiera interactuar de alguna manera con los clientes de la UE debe cumplir con el RGPD. El RGPD tiene como objetivo promover la minimización de los datos, ayudar a garantizar una base legal para la recopilación de datos y brindar a los usuarios el derecho a solicitar la eliminación de sus datos.

Los clientes de AWS pueden utilizar todos los servicios de AWS para procesar los datos personales (tal y como se definen en el RGPD) que se cargan en los servicios de AWS bajo sus cuentas de AWS (datos de clientes) de conformidad con el RGPD.

FIPS 140-3

FIPS 140-3 es un módulo criptográfico que deben utilizar todas las agencias estadounidenses que operan en el ámbito federal. Esta norma forma parte de FedRAMP y exige que las empresas utilicen una amplia gama de medidas de seguridad de protección y prevención.

AWS ofrece una amplia gama de puntos de conexión de FIPS por servicio.

Hay varias categorías principales de programas de seguridad de la información que funcionan en conjunto para proteger las cargas de trabajo y las aplicaciones.

Protección de datos

La protección de datos se refiere a cualquier servicio que ayude a proteger la información confidencial, las cuentas y las cargas de trabajo contra el acceso no autorizado. Los principales servicios de protección de datos incluyen el cifrado de datos tanto en tránsito como en almacenamiento, la administración de claves y la recuperación de información confidencial.

Protección de redes y aplicaciones

Las tecnologías de protección de redes y aplicaciones se relacionan con cualquier estrategia y política que la empresa implemente en los puntos de control de seguridad de la red. Estas tecnologías ayudan a identificar el tráfico entrante, a filtrarlo y a impedir que las conexiones no autorizadas accedan a la red. Las principales tecnologías incluyen los firewalls, las VPN, la detección de puntos de conexión y otros límites a nivel de aplicación que mejoran la seguridad de la red.

Administración de identidades y accesos

Las herramientas de seguridad para la administración de identidades y accesos (IAM) permiten que la empresa administre los controles de acceso, asigne niveles de permisos y determine qué cuentas pueden acceder a la información confidencial. Los controles de identidad ayudan a determinar el nivel de acceso que tienen ciertas cuentas y lo que ese nivel de acceso les permite ver o con qué les permite interactuar. Pertenece tanto a los controles a nivel de datos como a los sistemas de privilegios de cuentas.

Cumplimiento y auditoría

El cumplimiento y la auditoría hacen referencia a la capacidad de seguir las prácticas recomendadas, supervisar el entorno y ayudar a garantizar que se cumplan los estándares de cumplimiento en toda la organización. Según el sector en el que trabaje su empresa, los estándares exactos que debe auditar y cumplir variarán.

Controles de seguridad física

Los controles de seguridad física son otra forma de control de acceso que hace referencia a las oficinas físicas, los servidores y los espacios de la empresa. Implica el diseño seguro del sitio, la planificación de la disponibilidad y la implementación de políticas de acceso físico. La seguridad física y ambiental también se extiende a la supervisión del acceso, el registro de los movimientos y la garantía de que se mantenga un registro de los datos para que las empresas puedan auditarlo. 

Cuando una empresa utiliza servicios en la nube, la seguridad y el cumplimiento se convierten en una responsabilidad compartida entre el proveedor de servicios en la nube y la empresa. Esta doble responsabilidad se conoce como modelo de responsabilidad compartida y hace referencia a las tareas respectivas que cada parte debe cumplir para ayudar a garantizar la seguridad en la nube.

Entre otras tareas, el cliente asume la responsabilidad de administrar los datos del cliente, la plataforma, las aplicaciones, la administración de identidades y accesos, el cifrado de los datos del cliente y la configuración de la red. El proveedor de servicios en la nube es responsable de cualquier infraestructura que ejecute cualquier servicio en la nube, como el hardware, el software o las redes administradas por el proveedor de servicios en la nube.

La naturaleza específica de la responsabilidad compartida dependerá del proveedor de servicios en la nube con el que la empresa decida asociarse. La división de esa responsabilidad se entiende comúnmente como la seguridad “de” la nube frente a la seguridad “en” la nube.

En AWS, la seguridad es nuestra máxima prioridad. AWS está diseñado para ser la infraestructura en la nube global más segura en la que crear, migrar y administrar aplicaciones y cargas de trabajo. Contamos con el respaldo que brinda la confianza de nuestros millones de clientes, entre los que se incluyen las organizaciones con mayores exigencias de seguridad, como las administraciones públicas, el sector de la salud y los servicios financieros.

Los asuntos relacionados con la seguridad son una responsabilidad compartida entre AWS y el cliente. Este modelo compartido puede aliviar la carga operativa del cliente, ya que AWS opera, administra y controla los componentes del sistema operativo host y la capa de virtualización hasta la seguridad física de las instalaciones en las que funcionan los servicios. Admitimos una amplia gama de estándares de seguridad y certificaciones de cumplimiento, como PCI-DSS, HIPAA/HITECH, FedRAMP, RGPD y FIPS 140-3, lo que ayuda a los clientes a cumplir con los requisitos de cumplimiento en todo el mundo. También le proporcionamos un control total sobre sus propios datos, lo que le permite determinar cómo se utilizan, quién tiene acceso a ellos y cómo se cifran.

Los servicios de seguridad de AWS pueden respaldar aún más sus esfuerzos en materia de seguridad de la información en la nube. Por ejemplo:

• Los servicios de auditoría y configuración de AWS le brindan una visión integral de su estado de cumplimiento y supervisan su entorno continuamente.
• Los servicios de protección de datos de AWS como AWS Identity and Access Management (IAM) le permiten administrar de forma segura el acceso a los servicios y recursos de AWS. AWS CloudTrail y Amazon Macie habilitan el cumplimiento, la detección y la auditoría, mientras que AWS CloudHSM y AWS Key Management Service (KMS) permiten generar y administrar las claves de cifrado de forma segura. AWS Control Tower proporciona gobernanza y controles para la residencia de datos.
• Los servicios de detección y respuesta de AWS lo ayudan a mejorar su postura de seguridad y a optimizar las operaciones de seguridad en todo su entorno de AWS.
• Los servicios de identidad de AWS lo ayudan a administrar de forma segura identidades, recursos y permisos a escala.
• Los servicios de protección de redes y aplicaciones de AWS lo ayudan a aplicar políticas de seguridad precisas en los puntos de control de red de toda su organización.

Cree una cuenta gratuita hoy mismo para comenzar con la seguridad de la información en AWS.