UNIR Revista
La información es uno de los bienes más preciados. Los atributos o principios fundamentales de seguridad de la información son su disponibilidad, integridad y confidencialidad.
La confidencialidad en seguridad informática es el principio que garantiza que la información solo puede ser accedida por las personas que tienen autorización. Dicha autorización se basa en la necesidad de conocer la información para el desempeño de su actividad laboral o cotidiana y se debe proveer tanto para:
- La información almacenada: ya sea digital –almacenada en repositorios, como servidores– o física –como documentos en papel–.
- La información en tránsito: información digital transmitida a través de Internet, transportada en soportes digitales de información –como pendrives– o información física transportada de un lugar a otro.
Las principales medidas de seguridad que aseguran la confidencialidad de la información (en almacenamiento y en tránsito; en formato físico y digital) las podemos agrupar en dos grandes grupos: almacenamiento y tránsito.
Almacenamiento
La información almacenada que, según su clasificación basada en sus requisitos legales (p. ej. datos personales, información protegida por patentes, etc.), valor (información estratégica de negocio) o sensibilidad, debe ser confidencial y estar protegida de accesos no autorizados. Las principales medidas de seguridad que se pueden aplicar en este sentido son:
Control de acceso físico
Los accesos a las instalaciones donde se ubican los equipos, servidores y, en general, los dispositivos que almacenan la información digital, así como los lugares donde se almacena la información en formato físico (impresa en papel), deben estar adecuadamente protegidos frente a accesos no autorizados (p. ej. puertas con lectores de tarjetas/biométricos, armarios con cerraduras, etc.).
Control de acceso lógico
La red y los sistemas que almacenan y/o gestionan la información deben ser protegidos adecuadamente para asegurar que solo las personas autorizadas pueden acceder a ellos (p. ej. implantación de un NAC o de AAA a la red, mecanismos de login a los sistemas de información, etc.). Además, es necesario implementar mecanismos que garanticen que las personas con acceso a la red y los sistemas pueden acceder únicamente a la información que necesitan para el desempeño de sus actividades (esquema de permisos sobre los archivos o repositorios de información).
Cifrado
La información digital almacenada en repositorios de información se cifra garantizando que únicamente puede ser descifrada por las personas con permisos o autorizadas y basado en su necesidad de conocerla para el desempeño de sus funciones.
Tránsito
La información en formato digital sensible o confidencial viajando a través de redes públicas como Internet debe ser protegida de tal manera que si llega a personas no autorizadas o es interceptada por atacantes no pueda ser legible. El principal mecanismo que lo garantiza es el cifrado (p. ej. cifrado de adjuntos en emails, VPNs, SSL/TLS en webs, etc.).
Un tipo especial de información y que está sujeta al cumplimiento legal y regulatorio para garantizar su confidencialidad son los datos personales. Estos, en función de la información de que se trate, tienen varios niveles de sensibilidad (p. ej. los más sensibles son los relacionados con ideología política, orientación sexual, religión, genética, etc.) y, por lo tanto, las medidas de protección a aplicar para garantizar la confidencialidad son distintas.
Las leyes de aplicación en España son la RGPD de la Unión Europea y la española Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD). El incumplimiento de estas leyes o las violaciones de confidencialidad de este tipo de datos lleva acarreadas sanciones económicas muy elevadas por su criticidad.
