Disponibilidad en seguridad informática: ¿en qué consiste este término?

UNIR Revista

Este principio fundamental de la seguridad informática asegura la fiabilidad y el acceso oportuno a los datos y recursos por parte de los individuos o personas autorizadas.

La disponibilidad de la información o de los activos de información es el principio fundamental de la seguridad informática que asegura la fiabilidad y el acceso oportuno a los datos y recursos por parte de los individuos o personas autorizadas. Según las mejores prácticas y estándares internacionales de seguridad de la información (serie ISO 27000, NIST, ENISA, ENS…), el acceso a la información debe estar basado en el principio de necesidad de conocer, es decir, que solo aquellas personas que necesitan acceder a la información para el desempeño de sus tareas puedan hacerlo cuando lo necesiten. ¿Quieres saber más sobre la disponibilidad en seguridad informática?

El objetivo principal de la seguridad informática es proporcionar protección para la disponibilidad, integridad y confidencialidad de la información. Los controles de seguridad y las medidas y mecanismos de seguridad son implementados para proteger estos atributos o dimensiones de la información. Los riesgos, amenazas y vulnerabilidades se miden por su capacidad para comprometerlos.

Los dispositivos de red, ordenadores, servidores y demás sistemas de Tecnologías de la Información y las Comunicaciones (TIC) deben proveer la funcionalidad adecuada de manera predecible y eficiente cuando es necesaria. Además, estos deben recuperarse de interrupciones del servicio que prestan de manera segura y rápida para que la productividad o el negocio de las organizaciones no se vea afectada.

Un concepto fundamental a este respecto es el de alta disponibilidad, que se basa en el establecimiento de mecanismos para asegurar la tolerancia a fallos de los sistemas y equipamiento, como por ejemplo los clústeres o redundancia, que se basan en tener dos equipos o dos sistemas, funcionando al mismo tiempo activo-activo o balanceo de carga por si falla uno de ellos, o funcionando uno y el otro de reserva por si falla el principal, maestro-esclavo o primario-secundario.

Asegurar la disponibilidad de la información

Para asegurar la disponibilidad de la información y de los sistemas de TIC que la gestionan y/o procesan, las organizaciones generalmente desarrollan planes de continuidad del servicio de las TIC. Para el desarrollo de estos planes de disponibilidad, se pueden seguir las recomendaciones o métodos descritos en los estándares de seguridad más reconocidos a nivel internacional, como la serie ISO 27000, ISO 22301, NIST, ENISA, ENS…

De manera general, se siguen los siguientes pasos:

1. Identificación e inventariado de los activos de información, tanto de los datos como de los sistemas de TIC que los gestionan.
2. Análisis de impacto (BIA) que causaría una indisponibilidad de estos activos para el negocio o servicio prestado.
3. Identificación de los riesgos que afectan a la disponibilidad de los activos.
4. Análisis cualitativo y/o cuantitativo de los riesgos.
5. Desarrollo de un plan de respuesta o tratamiento de los riesgos, esto es decidir la estrategia para gestionarlos: evitarlos, aceptarlos, mitigar la probabilidad de que sucedan, disminuir su impacto si ocurren, transferir sus efectos (p. ej. mediante una póliza de seguros).
6. Implementar el plan de respuesta o tratamiento de riesgos.
7. Desarrollar planes de contingencia o procedimientos a seguir en el caso de que se materialicen y se produzca la indisponibilidad de los activos de información.

Los controles o medidas de seguridad del plan de respuesta o tratamiento de riesgos que afectan a la disponibilidad de la información típicos son:

1. Realización de copias de seguridad de la información, tanto de los datos como de las configuraciones de los sistemas que los gestionan. Se deben realizar pruebas de despliegue de los datos o sistemas desde los backups para asegurar que funcionan correctamente llegado el caso de que se produzca una indisponibilidad.
2. Utilización de tecnología RAID en los discos duros de los sistemas de información para asegurar la tolerancia de estos a fallos y minimizar la probabilidad de una pérdida de información.
3. Implantación de clústeres en los sistemas, utilización de arquitecturas activo-activo o maestro esclavo, para que en el caso de caída de uno de los sistemas el servicio continúe prestándose.
4. Líneas eléctricas y de comunicaciones redundantes.
5. Realización de imágenes de discos.
6. Disponibilidad de data center principal y secundario (réplica del principal).

La disponibilidad de la información es un principio fundamental de la seguridad informática que garantiza que la información va a estar disponible para su uso cuando sea requerido. Para asegurarla y minimizar las interrupciones del negocio o los servicios —que causan pérdidas económicas y reputacionales para las organizaciones— deben implementarse mecanismos y medidas de protección tanto a nivel técnico como organizativo.