This is the Trace Id: 9a0026a636ba8fbc3a909d41b8a95c72
Saltar al contenido principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Ver todos los productos Ciberseguridad con tecnología de IA Seguridad en la nube Seguridad y gobernanza de datos Identidad y acceso a la red Administración de riesgo y privacidad Seguridad para IA Pequeñas y medianas empresas SecOps unificadas Confianza cero Precios Servicios Partners Por qué Seguridad de Microsoft Concienciación sobre la ciberseguridad Casos de clientes Fundamentos de seguridad Pruebas de producto Reconocimiento del sector Microsoft Security Insider Informe de defensa digital de Microsoft Centro de respuestas de seguridad Blog de Seguridad de Microsoft Eventos de Seguridad de Microsoft Microsoft Tech Community Documentación Biblioteca de contenido técnico Capacitación y certificaciones Programa de cumplimiento de Microsoft Cloud Centro de confianza de Microsoft Portal de confianza de servicios Microsoft Iniciativa para un futuro seguro Business Solutions Hub Contacto con ventas Inicia la prueba gratuita Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realidad mixta Microsoft HoloLens Microsoft Viva Computación cuántica Educación Automotriz Servicios financieros Gobierno Sanidad Fabricación Comercios minoristas Encuentra un asociado Conviértete en asociado Red de asociados Microsoft Marketplace Empresas de software Blog Microsoft Advertising Centro de desarrolladores Documentación Eventos Licenciamiento Microsoft Learn Microsoft Research Ver mapa del sitio
Obtener el informe
Compañeros de trabajo revisando el contenido de un monitor de escritorio

¿Qué es la seguridad de la información (InfoSec)?

Proteja la información confidencial en la nube, las aplicaciones y los puntos de conexión.
Detectar la protección de InfoSec

Definición de seguridad de la información (InfoSec)

La seguridad de la información, que suele abreviarse como InfoSec, es un conjunto de procedimientos y herramientas de seguridad que protegen ampliamente la información confidencial de la empresa frente al uso indebido, acceso no autorizado, interrupción o destrucción. InfoSec comprende la seguridad física y del entorno, del control de acceso, y la ciberseguridad. Por lo general incluye tecnologías como agentes de seguridad de acceso a la nube (CASB), herramientas de análisis, detección y respuesta de puntos de conexión (EDR) y pruebas de seguridad para DevOps (DevSecOps), entre otras.

Elementos clave de seguridad de la información

InfoSec comprende un conjunto de herramientas, soluciones y procesos de seguridad que mantienen la información de la empresa segura entre dispositivos y ubicaciones, ayudando en la protección contra ciberataques u otros eventos disruptivos.

Seguridad de aplicaciones

Directivas, procedimientos, herramientas y procedimientos recomendados que se aplican para proteger las aplicaciones y sus datos.

Respuesta a incidentes

El plan de respuesta de la organización para corregir y administrar las consecuencias de un ciberataque, una vulneración de datos u otro evento disruptivo.

Seguridad en la nube

Directivas, procedimientos, herramientas y procedimientos recomendados que se aplican para proteger todos los aspectos de la nube, incluyendo sistemas, datos, aplicaciones e infraestructura.

Seguridad en la nube

Seguridad de la infraestructura

La seguridad que comprende toda la infraestructura tecnológica de una organización, incluyendo tanto los sistemas de hardware como de software.

Criptografía

Método basado en algoritmos para proteger la comunicación para garantizar que solo los destinatarios de un mensaje específico pueden verlo y descifrarlo.

Administración de amenazas y vulnerabilidades

El proceso que lleva a cabo una organización para identificar, evaluar y corregir vulnerabilidades en sus puntos de conexión, software y sistemas.

Recuperación ante desastres

Método para restablecer los sistemas tecnológicos funcionales tras un evento disruptivo como, por ejemplo, un desastre natural o un ciberataque.

Los tres pilares de la seguridad de la información: la tríada CIA

La confidencialidad, la integridad y la disponibilidad constituyen las piedras angulares de una sólida protección de la información, creando el fundamento para la infraestructura de seguridad de una empresa. La tríada CIA ofrece estos tres conceptos como principios guía a la hora de implementar un plan InfoSec.
 

Confidencialidad


La privacidad es uno de los componentes principales de InfoSec. Las organizaciones deben tomar medidas que permitan únicamente el acceso de usuarios autorizados a la información. El cifrado de datos, la Autenticación multifactor, y la prevención de pérdida de datos son algunas de las herramientas que pueden emplear las empresas para ayudar a garantizar la confidencialidad de los datos.
 

Integridad


Las empresas deben mantener la integridad de los datos a lo largo de todo su ciclo de vida. Las empresas con un sistema de InfoSec bien establecido reconocen la importancia de que los datos sean precisos y fiables y no permiten que los usuarios no autorizados accedan a ellos, los alteren o interfieran de cualquier otro modo en ellos. Las herramientas como los permisos de archivos, la administración de identidades y los controles de acceso de usuario ayudan a garantizar la integridad de datos.
 

Disponibilidad


InfoSec implica un mantenimiento continuo del hardware físico y la actualización habitual del sistema para garantizar que los usuarios autorizados dispongan de acceso fiable y coherente a los datos que necesiten.

Amenazas de seguridad de la información comunes

Ataque de amenaza persistente avanzada (APT):

Un ciberataque sofisticado que se da durante un período prolongado de tiempo durante el que un atacante (o grupo de atacantes) no detectado obtiene acceso a la red y datos de la empresa.

Red de robots (botnet):

El término botnet, derivado de “red de robots”, hace referencia a una red de dispositivos conectados que un atacante infecta con código malicioso y controla de forma remota.

Ataque de denegación de servicio distribuido (DDoS):

Los ataques DDoS usan redes de robots (botnets) para sobrecargar el sitio web o aplicación de una organización, lo que resulta en un bloqueo o denegación de servicio a los usuarios o visitantes válidos.

Ataque de descarga oculta:

Un fragmento de código malicioso que se descarga automáticamente en el dispositivo de un usuario tras visitar una página web y que hace que el usuario sea vulnerable a otras amenazas de seguridad.

Kit de vulnerabilidad de seguridad:

Un conjunto integral de herramientas que usan vulnerabilidades de seguridad para detectar otras que les permitan infectar dispositivos con malware.

Amenaza interna:

Existe la posibilidad de que alguien interno a la organización aproveche (consciente o inconscientemente) el acceso autorizado para dañar o hacer vulnerables los sistemas, redes y datos de la organización.

Ataque tipo Man-in-the-middle (MitM):

Un atacante malicioso interrumpe una línea de comunicación o transferencia de datos haciéndose pasar por un usuario válido para robar información o datos.

Ataques de phishing:

Los ataques de phishing se hacen pasar por organizaciones o usuarios legítimos para robar información por correo electrónico, mensaje de texto u otros métodos de comunicación.

Ransomware:

Un ataque de extorsión por malware que cifra la información de una organización o persona impidiendo el acceso hasta que se pague un rescate.

Ingeniería social:

Ciberataques que tienen su origen en interacciones humanas. El atacante se gana la confianza de la víctima a través de un señuelo, scareware o phishing, recoge información personal y la usa para llevar a cabo un ataque.

Ataque en redes sociales:

Ciberataques que tienen como objetivo plataformas de redes sociales, aprovechándolas como mecanismo de entrega o para robar información y datos de los usuarios.

Virus y gusanos:
 

Malware malicioso indetectable que puede replicarse a sí mismo a lo largo de la red o sistema de un usuario.

Tecnologías utilizadas para la seguridad de la información

Agente de seguridad de acceso a la nube (CASB)

Puntos de cumplimiento de la política de seguridad que se posicionan entre usuarios de la empresa y proveedores del servicio en la nube que combinan varias directivas de seguridad diferentes, desde la autenticación y asignación de credenciales al cifrado, detección de malware y más. Los CASB tienen su función en aplicaciones autorizadas y no autorizadas y dispositivos administrados y no administrados.

Prevención de pérdida de datos

La prevención de pérdida de datos (DLP) comprende las directivas, procedimientos, herramientas y procedimientos recomendados que se aplican para evitar la pérdida o uso indebido de datos confidenciales. Las herramientas clave incluyen el cifrado o transformación de texto sin formato en texto cifrado a través de un algoritmo y la tokenización o asignación de un conjunto de números aleatorios a los datos y el uso de una base de datos de tokens para almacenar la relación.

Detección y respuesta de puntos de conexión (EDR)

La EDR es una solución de seguridad que emplea un conjunto de herramientas para detectar e investigar las amenazas y responder a ellas en dispositivos de punto de conexión.

Microsegmentación

La microsegmentación divide los centros de datos en zonas múltiples, granulares, seguras o segmentos que mitigan los niveles de riesgo.

Pruebas de seguridad para DevOps (DevSecOps)

DevSecOps es el proceso de integración de medidas de seguridad en cada paso del proceso de desarrollo, de forma que se aumenta la velocidad y se mejora la oferta de procesos de seguridad más proactivos.

Análisis de comportamiento de usuarios y entidades (UEBA)
 

UEBA es el proceso de observación del comportamiento típico de un usuario para detectar acciones que se salen de lo normal. Esto ayuda a las empresas a identificar amenazas potenciales.

Seguridad de la información y su organización

Las empresas pueden emplear sistemas de administración de la seguridad de la información (ISMS) para estandarizar los controles de seguridad en toda la organización, estableciendo estándares personalizados o del sector para ayudar a garantizar InfoSec y la administración de riesgos. El uso de un enfoque sistemático a la InfoSec ayudará a proteger la organización de manera proactiva frente a riesgos innecesarios y permitirá a su equipo a corregir amenazas de forma eficiente a medida que surjan.


Respuesta a las amenazas de seguridad de la información

Una vez que el equipo de seguridad reciba una amenaza de InfoSec, completa los siguientes pasos:
 
  • Reúne al equipo y referencia al plan de respuesta frente a incidentes.
  • Identifica el origen de la amenaza.
  • Lleva a cabo acciones para contener y corregir la amenaza.
  • Evalúa los daños.
  • Notifique a quién corresponda.
Recursos

Más información acerca de Seguridad de Microsoft

  1.
Persona usando un portátil en el interior bajo una iluminación semiactiva

Seguridad de Microsoft

Un enfoque integral sobre la seguridad.
Explorar más
Persona usando una tableta en el sofá.

Gobierno y protección de la información

Ayuda a proteger los datos confidenciales en la nube, las aplicaciones y los puntos de conexión.
Obtenga más información
Persona trabajando en un equipo informático en una configuración de oficina.

Microsoft Purview Information Protection

Descubra, clasifique y proteja información confidencial, donde sea que se encuentre o se envíe.
Obtenga más información
Persona trabajando en un portátil en el interior con la vida en segundo plano.

Blog de Information Protection

Obtenga más información sobre las actualizaciones de la característica y las nuevas capacidades de Information Protection en los últimos blogs.
Obtenga más información
Volver a la sección de productos relacionados
Preguntas más frecuentes

Preguntas más frecuentes

  • Ciberseguridad se encuentra bajo el paraguas más amplio de InfoSec. Si bien InfoSec conforma un amplio intervalo de áreas y repositorios de información, incluidos dispositivos físicos y servidores, la ciberseguridad solo hace referencia a la seguridad tecnológica.
  • InfoSec hace referencia a medidas de seguridad, herramientas, procesos y procedimientos recomendados que una empresa aplica para proteger la información de amenazas, mientras que la privacidad de los datos hace referencia a los derechos de un individuo para controlar y dar su consentimiento a cómo la empresa trata o usa sus datos personales e información.
  • La administración de seguridad de la información describe el conjunto de directivas, herramientas y procedimientos que emplea una empresa para proteger la información y datos frente a amenazas y ataques.
  • Un ISMS es un sistema centralizado que ayuda a las empresas a intercalar, revisar y mejorar sus directivas y procedimientos de InfoSec, mitigando el riesgo y ayudando con administración del cumplimiento.
  • Las entidades independientes de la organización internacional de normalización (ISO) y la comisión electrotécnica internacional (CEI) desarrollaron un conjunto de normas en InfoSec pensadas para ayudar a las organizaciones de un amplio abanico de sectores a poner en práctica políticas eficaces de InfoSec. Específicamente, la ISO 27001, ofrece normas para la implementación de InfoSec e ISMS.

Seguir a Seguridad de Microsoft

Copilot para organizaciones Copilot para uso personal Microsoft 365 Explora los productos de Microsoft Aplicaciones de Windows 11 Perfil de la cuenta Centro de descargas Soporte de Microsoft Store Devoluciones y reembolsos Seguimiento de pedidos Microsoft Educación Dispositivos para el sector educativo Microsoft Teams para Educación Microsoft 365 Educación Office Educación Entrenamiento y desarrollo para educadores Ofertas para estudiantes y padres Azure para estudiantes
Microsoft AI Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desarrollador de Microsoft Microsoft Learn Admite aplicaciones del Marketplace de IA Comunidad de Microsoft Tech Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Trabajos Acerca de Microsoft Privacidad en Microsoft Inversionistas
Español (México) Privacidad de la salud del consumidor Ponte en contacto con Microsoft Privacidad Administrar cookies Aviso legal Marcas Registradas Sobre nuestra publicidad