Saltar al contenido principal
LibreTexts Español

21.4: Problemas de seguridad de la información

  1. Última actualización
  2. Guardar como PDF
  • Page ID
    59702

    • \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

    La seguridad de la información es una de las áreas de más rápido crecimiento de la ley que afecta a las empresas hoy Cualquier negocio que recopile, use y almacene información personal sobre empleados y clientes está sujeto a estas leyes. Las empresas también son cada vez más atacadas por hackers que buscan robar información privada a gran escala.

    Análisis de Seguridad

    Un modelo de seguridad simple pero ampliamente utilizado es el Principio de la CIA o Regla de Seguridad de la CIA, que significa Confidencialidad, Integridad y Disponibilidad. El principio es aplicable a través de puntos de contacto, desde el acceso al historial de Internet de un usuario hasta la seguridad de los datos cifrados a través de Internet.

    Figura 21.2 Principio CIA

    Gráfico de regla de seguridad

    La confidencialidad es la capacidad de ocultar información a quienes no tienen autorización para verla. Si bien quizás el principio más obvio, suele ser el que más a menudo se ataca. La criptografía y el cifrado son métodos utilizados para proteger la confidencialidad de los datos transferidos a través de Internet.

    La integridad es la capacidad de asegurar que los datos sean una representación precisa y sin cambios de la información original. Un ataque de seguridad común es interceptar algunos datos importantes y hacer cambios en ellos antes de enviarlos al receptor previsto.

    La disponibilidad es la capacidad de hacer que la información sea fácilmente accesible a los usuarios autorizados en todo momento. Algunos ataques de seguridad intentan denegar el acceso a usuarios apropiados, ya sea para incomodarlos o para lograr otro objetivo como redirigir el negocio a un competidor.

    Como se discutió en la Sección 21.3 anterior, la Regla de Seguridad de HIPAA requiere que las entidades cubiertas implementen el principio de la CIA para proteger la PHI

    Violaciones de datos

    Según el Pew Research Center, casi el ochenta y cinco por ciento de los individuos en Estados Unidos compran en línea. Y la mayoría de los minoristas recopilan datos personales y financieros de los clientes. Si un cliente utiliza una forma de pago que no sea efectivo, entonces la información personal y financiera del cliente se compartirá con el negocio.

    En lugar de carterista a un consumidor individual, los ladrones de hoy están apuntando a las empresas para recopilar información personal y financiera de conjuntos completos de consumidores. Las violaciones de datos afectan a todas las industrias, como el comercio minorista, las agencias de crédito, los hospitales y las agencias gubernamentales. En el primer semestre de 2019, hubo más de 4.1 mil millones de documentos comprometidos reportados como parte de solo 3,800 violaciones de datos divulgados.

    Los expertos en ciberseguridad aconsejan que los ciberdelincuentes ejecuten scripts automatizados en línea buscando bases de datos no seguras Si bien algunas empresas más grandes son particularmente atacadas, los ciberdelincuentes son los más exitosos cuando se dirigen a pequeñas y medianas empresas que desconocen la amenaza o no quieren gastar recursos adecuados en ciberseguridad.

    Sin embargo, las empresas deben ser conscientes de que aproximadamente el sesenta por ciento de las violaciones de datos son el resultado de un error humano en lugar de una tecnología obsoleta o insuficiente. Por lo tanto, al capacitar adecuadamente a los empleados, se pueden evitar muchas violaciones de datos. Por ejemplo, las infracciones a menudo resultan de enviar correos electrónicos a la persona equivocada, responder a ataques de phishing, compartir contraseñas y dejar abiertas las pantallas de las computadoras.

    Otro gran riesgo es cuando las personas usan la misma contraseña para múltiples cuentas, como cuentas de correo electrónico, cuentas bancarias y redes sociales. Si la contraseña es obtenida por delincuentes cibernéticos y agregada a la base de datos de contraseñas, todas las cuentas estarán en riesgo.

    Big Data

    Además de los datos financieros, las empresas recopilan información personal sobre los consumidores y sus hábitos. Esto se llama big data. La información del consumidor es muy valiosa porque las empresas pueden buscar los datos para identificar hábitos de gasto para dirigir el marketing a clientes probables. Esto reduce costos y aumenta las ganancias para las empresas, especialmente a medida que el comercio electrónico aumenta el número de competidores en todas las industrias.

    Otro beneficio de extraer los datos disponibles sobre los consumidores es que las empresas pueden tomar decisiones más rentables. Por ejemplo, las compañías de seguros de salud están fuertemente invertidas en big data porque quieren información sobre los hábitos de estilo de vida de las personas que aseguran y potencialmente aseguran. Si saben que alguien es fumador, come muchos alimentos azucarados, o tiene un estilo de vida sedentario, entonces pueden ajustar las primas en consecuencia para minimizar su riesgo. Las compañías de seguros buscan tendencias no solo para individuos sino también regiones, tipos de ocupaciones (incluyendo aquellas con mayor riesgo de adicción u obesidad) y estatus socioeconómico.

    El Big Data también está conectado al Internet de las Cosas. El Internet de las Cosas (IoT) es un sistema de dispositivos informáticos interrelacionados, máquinas mecánicas y digitales, objetos, animales o personas que cuentan con identificadores únicos y la capacidad de transferir datos a través de una red sin requerir interacción de persona a persona o de persona a computadora. En otras palabras, el IoT incluye dispositivos cotidianos conectados a Internet, incluidos dispositivos médicos, electrodomésticos, vehículos y edificios.

    A medida que más empresas buscan big data sobre los consumidores y venden artículos de IoT a los consumidores, los derechos de privacidad se ven afectados. La recolección de datos en espacios públicos, como vallas publicitarias que rastrean quién se detiene a leerlos, puede ser lícita. Sin embargo, la ubicación y forma de recolección de datos implica diferentes expectativas de privacidad. Por ejemplo, las empresas argumentan que al comprar e instalar electrodomésticos y productos “inteligentes para el hogar”, los consumidores han consentido la vigilancia y la recolección de datos. Los grupos de defensa del consumidor argumentan que la compra de bienes para un uso particular no da consentimiento a las empresas para invadir la privacidad del consumidor en sus hogares. Estos temas serán fuertemente litigados en los próximos años.

    Transferencias de datos transfronterizas

    Como se discutió anteriormente, la UE cuenta con un conjunto integral de leyes y regulaciones de privacidad. La UE tiene límites estrictos en la exportación de todos los datos de recursos humanos e información del consumidor a Estados Unidos, incluso cuando la exportación de datos ocurre dentro del mismo negocio. Para ayudar a las empresas estadounidenses a cumplir con las leyes de la UE, el Departamento de Comercio de Estados Unidos negoció un “puerto seguro” de prácticas de protección de datos que la UE aprobó. Si una empresa estadounidense puede certificar su cumplimiento con los Principios de Puerto Seguro, entonces la UE aprobará las transferencias de datos a ese negocio.

    Preparación y respuesta ante incidentes de seguridad

    Las empresas no son capaces de evitar todas las violaciones de seguridad de datos. Sin embargo, las empresas deben tomar medidas para protegerse contra amenazas conocidas y razonablemente anticipadas a la información confidencial. Para empresas sin suficiente personal o experiencia en ciberseguridad interna, los proveedores de servicios de seguridad administrada (MSSP) ofrecen una amplia gama de servicios de seguridad, incluida la configuración de infraestructura de seguridad y la respuesta a incidentes.

    Aunque las leyes federales y estatales varían en cuanto a los requisitos legales, una empresa debe tener un programa de ciberseguridad escrito que se ajuste al marco de ciberseguridad reconocido de su industria.

    En general, un programa de ciberseguridad debe:

    • Proteger la seguridad y confidencialidad de todos los registros almacenados electrónicamente que contengan el número de seguro social de un empleado o cliente, número de licencia de conducir, número de tarjeta de identificación estatal, información de la tarjeta de crédito y débito, fechas de nacimiento, contraseñas e información personal;
    • Proteger contra cualquier amenaza o peligro anticipado para la seguridad o integridad de la información confidencial;
    • Proporcionar copias de seguridad confiables y precisas de los datos; y
    • Proteger contra el acceso no autorizado y la adquisición de información que pueda resultar en que un empleado o cliente esté expuesto a un riesgo material de robo de identidad o fraude.

    Muchas leyes, incluida la HIPAA, tienen regulaciones de ciberseguridad con las que las empresas deben cumplir. Ciertas industrias también han emitido sus propios estándares de seguridad. Por ejemplo, el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI) ha emitido normas para la seguridad de los datos de titulares de tarjetas de crédito y débito en todo el mundo.

    Las empresas que deseen información sobre la implementación de programas de ciberseguridad que sean apropiados para su industria deben considerar el Marco para Mejorar la Ciberseguridad de Infraestructura Crítica del Instituto Nacional de Estándares y Tecnología (NIST). La misión del NIST es ayudar a las organizaciones a comprender y mejorar su gestión de los riesgos de ciberseguridad. Es un excelente lugar para comenzar a la hora de analizar temas de ciberseguridad.

    This page titled 21.4: Problemas de seguridad de la información is shared under a CC BY 4.0 license and was authored, remixed, and/or curated by Melissa Randall and Community College of Denver Students via source content that was edited to the style and standards of the LibreTexts platform; a detailed edit history is available upon request.