La norma ISO
27001 ofrece los requisitos necesarios para establecer un Sistema
de Gestión de Seguridad de la Información en las organizaciones.
Hoy en día, se utiliza el término
“ciberseguridad” que puede encontrase asociado a otras palabras como
ciberespacio, ciberamenazas, etc. En ocasiones se puede utilizar como sinónimo
de Seguridad de la Información, pero esto no es del todo correcto.
El dilema se presenta cuando es
necesario aplicar de forma adecuada todos los conceptos, estando de acuerdo a
las ideas que se pretenden expresar. Si bien existen diferentes definiciones
para la ciberseguridad es muy importante conocer cuándo se utiliza de forma correcta,
de acuerdo con el contexto y saber las diferencias entre los términos como
puede ser la seguridad de la información.
Durante este post queremos definir los
diferentes conceptos para conocer las diferencias con otros términos utilizados
en seguridad.
Qué
es la ciberseguridad
Según la asociación de profesionales de
seguridad ISACA la ciberseguridad se puede entender como:
“Protección de activos de información,
mediante el tratamiento de las amenazas que ponen en riesgo la información que
se procesa, se almacena y se transporta mediante los sistemas de
información que se encuentran interconectados”.
El estándar ISO 27001 establece
que la definición de activo de información pueden ser los
conocimientos que tienen un valor añadido para la empresa, mientras que los Sistemas
de Información establecen las aplicaciones, los servicios, los activos
,etc. y utiliza otros compuestos que faciliten el manejo de la información.
La ciberseguridad ofrece un foco de
protección para la información digital que se encuentra entre sistemas
interconectados. Como consecuencia, se encuentra en la seguridad de la
información.
Seguridad
de la Información
Para poder establecer la diferencia con
la seguridad de la información, debemos revisar varios conceptos
más que nos permiten tener el contexto general. Según la Real Academia Española
(RAE), la seguridad se puede definir como: “Libre o exento de todo peligro,
daño o riesgos”
Sin embargo, es una condición ideal, ya
que en la realidad no es posible tener la certeza de que se puedan evitar todos
los peligros.
El principal propósito de seguridad en
todos los ámbitos de aplicación es el de reducir riegos hasta un nivel que se
pueda aceptar y que los interesados puedan mitigar las amenazas latentes. Es
decir, la seguridad también entiende que las actividades se encuentran
destinadas a proteger del peligro a los activos sensibles de la organización.
La información se puede encontrar en
diferentes formatos, por ejemplo en formato digital (utilizando los diferentes
medios electrónicos que existen hoy en día), de forma física (bien sea escrita
o impresa), además de manera no representada, esto pueden ser ideas o
conocimiento de personas que pertenecen a la organización. Los activos
de información se pueden encontrar en diferentes formatos.
En un Sistema de Gestión de
Seguridad de la Información ISO 27001 la información se
puede almacenar, procesar o trasmitir de diferentes maneras:
·
Formato electrónico
·
Forma verbal
·
Mediante mensajes escritos
·
Impresos
Esto quiere decir que será posible
encontrarlos en diferentes formatos.
No importa la forma o el estado, la
información requiere que se cumpla una serie de medidas de protección que sean
adecuadas según la importancia y la criticidad de la información, esto es
especialmente importante en el ámbito de la seguridad de la información.
Debemos recordad que la seguridad en
cómputo se limita a la protección de los sistemas y equipos que permiten
procesar toda la información, mientras que la seguridad informática se
involucra en todos los métodos, procesos o técnicas para tratar de forma
automática la información que se encuentra en formato digital, teniendo un
mayor alcance, ya que se incluye la protección de las redes e infraestructuras
tecnológicas.
Cuando lo que se busca es poder proteger
el software, el hardware, las redes, las infraestructuras o los servicios, nos
topamos con el ámbito de la seguridad informática o la ciberseguridad. Se
incluyen muchas actividades de seguridad que se encuentran relacionadas con la
información que manejan todas las personas, el cumplimiento o la concienciación
cuando nos estamos refiriendo a la seguridad de la información.
Principales
diferencias entre ciberseguridad y seguridad de la información
Una vez hemos revisado los conceptos, es
posible que se identifiquen todas las diferencias y por lo tanto conocer en el
momento en el que se debe aplicar un concepto u otro. En primer lugar, podemos
resaltar que la seguridad de la información presenta un mayor
alcance que la ciberseguridad, ya que la primera quiere proteger la información
en cuanto a los diferentes tipos de riesgos a los que se enfrentan, en los
distintos estados y formas.
En caso contrario, la ciberseguridad se
encuentra enfocada, de forma principal, en la información que se encuentra en
formato digital y los sistemas interconectados que la procesan, transmiten o
almacena, por lo que tienen una mayor cercanía a la seguridad informática.
La seguridad de la información se
encuentra sustentada por diferentes metodologías, normas, herramientas,
estructuras, técnicas, tecnología y otros elementos, que soportan la idea de
proteger las diferentes áreas de la información, además se involucra durante la
aplicación y la gestión de las medidas de seguridad apropiadas, mediante un enfoque
holístico.
Por lo general, los límites no importan
para cada concepto, el principal objetivo es proteger la información,
de forma independiente de que ésta pertenezca a una empresa tratándose de
información personal, ya que nadie se encuentra exento de padecer algún riesgo
en seguridad.
Una vez que ya conocemos la definición
de cada uno de los términos y el alcance que tienen, podemos utilizarlos en
diferentes momentos ya que seguramente podemos seguir aplicando el concepto.
Con los avances tecnológicos que se incorporan cada vez más a nuestras vidas
cotidianas, la dependencia de la tecnología se incrementa, y
como consecuencia se genera la necesidad de aplicar la ciberseguridad.
Entradas
