ISO 27001: Los aspectos básicos en la ciberseguridad
Sistema de Gestión de Seguridad de la Información
La norma ISO 27001 nos ofrece todos los requisitos necesarios para poder implementar un Sistema de Gestión de Seguridad de la Información, con esto podemos ofrecer seguridad a la información importante de nuestra organización.
Debemos comenzar por conocer las definiciones básicas de ciberseguridad, para poder conocer exactamente de lo que estamos hablando.
La ciberseguridad es la Seguridad de la Información como la protección de la confidencialidad, integridad y la disponibilidad de la información. Como confidencial podemos entender que es la propiedad con la que cuenta la información que no se encuentre a disposición de cualquier persona o sea divulgada. La integridad puede ser definida la propiedad de conservar la exactitud y la complejidad de los activos de información. Mientras que por disponibilidad entendemos que es la propiedad de ser accesibles y utilizables ante cualquier persona que los solicite.
Los trabajadores del área de Seguridad de la Información suelen utilizar la denominación CIA, que no se trata del organismo de seguridad conocido internacionalmente, sino a los tres conceptos que hemos mencionado anteriormente, utilizando sus nombres en inglés, confidentiality, integrity y availability.
Podemos poner un ejemplo de cada uno de los tres conceptos:
Confidencialidad: ingresar cierta cantidad en el banco y querer que sólo la persona que ha realizado el ingreso y el banco sepa sobre este dinero.
Integridad: cuando deseas retirar el dinero de la cuenta, lo deseables es retirar lo ingresado más los intereses. Nunca menos cantidad de dinero porque el banco haya perdida cierta cantidad.
Disponibilidad: en el momento en el que deseo sacar mi dinero en un cajero no esté el sistema roto y tenga que regresar otro día para poder retirar el dinero.
La definición de ciberseguridad no se diferencia mucho de la de Seguridad de la Información. La definición de Seguridad de la Información es que la ciberseguridad tiene que estar libre de posibles peligros o daños que sean ocasionados por interrupciones no deseadas, caída del servidor o abusos de las TIC. El daño que se puede causar por el abuso, la interrupción o la caída de los servicios tiene que estar constituido por una limitación de la disponibilidad y confiabilidad de las TIC, un incumplimiento de la confidencialidad de la información almacenada en las TIC o un daño generado en la integridad de dicha información.
Seguridad de la Información contra la ciberseguridad
Aunque no contamos con una posición oficial sobre las diferencias entre Seguridad de la Información y ciberseguridad, podemos darle nuestra propia interpretación:
La ciberseguridad es el 95% Seguridad de la Información, la única diferencia es que la SI incluye la seguridad en todos los medios no digitales, es decir, la ciberseguridad se enfoca solo en la información en formato digital. Hoy día, los medios no digitales es una pequeña proporción del total de información disponible.
La Seguridad de la Información y la ciberseguridad se utilizan de forma indistina, como sinónimos. La ciberseguirdad es un término más utilizado en círculos gubernamentales de los EEUU, mientras que la Seguridad de la Información se utiliza mucho más en bancos y organizaciones que tienen relación con la salud.
Lo más destacado de los términos Seguridad de la Información y ciberseguridad puede ser utilizado indistintamente y no cometerá ningún error.
Continuidad de negocio y Gestión del Riesgo
La continuidad de negocio la podemos definir como la capacidad estratégica y táctica de la empresa para poder planificar y ejecutar las posibles respuestas ante incidentes e interrupciones en el negocio con el fin de permitir la continuidad de las actividades comerciales en un nivel muy aceptable que ha sido definido previamente.
La ciberseguridad es una gran medida de la continuidad del negocio, lo que se debe a las características más importantes de la ciberseguridad que es mantener disponible la información requerida, por lo que para la continuidad de negocio es una parte muy importante.
El objetivo perseguido por la ciberseguridad, la seguridad de la información y continuidad del negocio es disminuir todos los riesgos que supone el hacer negocios. Dentro del mundo de la banca, se denomina gestión de riesgo operativo. Si usted en su empresa tiene implementado un Sistema de Gestión de Seguridad de la Información según la norma ISO27001 busca disminuir los riesgos protegiendo su información.
Lo que puede resultar difícil es comprender que la tecnología de la información sea un parte tan pequeña de la ciberseguridad. La tecnología no es la solución para todos los riesgos, ya que las medidas de seguridad de TI suelen ser el 50% de la ciberseguridad.
Lo que puede hacer para disminuir todos los riesgos a los que se enfrenta diariamente es implementar un Sistema de Gestión de Seguridad de la Información ISO-27001. Desde un punto de vista diferente la manera de gestionar el riesgo, incluyendo la política de seguridad, los procedimientos, etc. se pueden administrar las técnicas y las leyes que causen alguna influencia.
Software para ISO 27001
El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.