ISO 27001: Diferencia entre ciberseguridad y seguridad de la información
ISO 27001
La norma ISO 27001 ofrece los requisitos necesarios para establecer un Sistema de Gestión de Seguridad de la Información en las organizaciones.
Hoy en día, se utiliza el término “ciberseguridad” que puede encontrase asociado a otras palabras como ciberespacio, ciberamenazas, etc. En ocasiones se puede utilizar como sinónimo de Seguridad de la Información, pero esto no es del todo correcto.
El dilema se presenta cuando es necesario aplicar de forma adecuada todos los conceptos, estando de acuerdo a las ideas que se pretenden expresar. Si bien existen diferentes definiciones para la ciberseguridad es muy importante conocer cuándo se utiliza de forma correcta, de acuerdo con el contexto y saber las diferencias entre los términos como puede ser la seguridad de la información.
Durante este post queremos definir los diferentes conceptos para conocer las diferencias con otros términos utilizados en seguridad.
Qué es la ciberseguridad
Según la asociación de profesionales de seguridad ISACA la ciberseguridad se puede entender como:
“Protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”.
El estándar ISO 27001 establece que la definición de activo de información pueden ser los conocimientos que tienen un valor añadido para la empresa, mientras que los Sistemas de Información establecen las aplicaciones, los servicios, los activos ,etc. y utiliza otros compuestos que faciliten el manejo de la información.
La ciberseguridad ofrece un foco de protección para la información digital que se encuentra entre sistemas interconectados. Como consecuencia, se encuentra en la seguridad de la información.
Seguridad de la Información
Para poder establecer la diferencia con la seguridad de la información, debemos revisar varios conceptos más que nos permiten tener el contexto general. Según la Real Academia Española (RAE), la seguridad se puede definir como: “Libre o exento de todo peligro, daño o riesgos”
Sin embargo, es una condición ideal, ya que en la realidad no es posible tener la certeza de que se puedan evitar todos los peligros.
El principal propósito de seguridad en todos los ámbitos de aplicación es el de reducir riegos hasta un nivel que se pueda aceptar y que los interesados puedan mitigar las amenazas latentes. Es decir, la seguridad también entiende que las actividades se encuentran destinadas a proteger del peligro a los activos sensibles de la organización.
La información se puede encontrar en diferentes formatos, por ejemplo en formato digital (utilizando los diferentes medios electrónicos que existen hoy en día), de forma física (bien sea escrita o impresa), además de manera no representada, esto pueden ser ideas o conocimiento de personas que pertenecen a la organización. Los activos de información se pueden encontrar en diferentes formatos.
En un Sistema de Gestión de Seguridad de la Información ISO 27001 la información se puede almacenar, procesar o trasmitir de diferentes maneras:
- Formato electrónico
- Forma verbal
- Mediante mensajes escritos
- Impresos
Esto quiere decir que será posible encontrarlos en diferentes formatos.
No importa la forma o el estado, la información requiere que se cumpla una serie de medidas de protección que sean adecuadas según la importancia y la criticidad de la información, esto es especialmente importante en el ámbito de la seguridad de la información.
Debemos recordad que la seguridad en cómputo se limita a la protección de los sistemas y equipos que permiten procesar toda la información, mientras que la seguridad informática se involucra en todos los métodos, procesos o técnicas para tratar de forma automática la información que se encuentra en formato digital, teniendo un mayor alcance, ya que se incluye la protección de las redes e infraestructuras tecnológicas.
Cuando lo que se busca es poder proteger el software, el hardware, las redes, las infraestructuras o los servicios, nos topamos con el ámbito de la seguridad informática o la ciberseguridad. Se incluyen muchas actividades de seguridad que se encuentran relacionadas con la información que manejan todas las personas, el cumplimiento o la concienciación cuando nos estamos refiriendo a la seguridad de la información.
Principales diferencias entre ciberseguridad y seguridad de la información
Una vez hemos revisado los conceptos, es posible que se identifiquen todas las diferencias y por lo tanto conocer en el momento en el que se debe aplicar un concepto u otro. En primer lugar, podemos resaltar que la seguridad de la información presenta un mayor alcance que la ciberseguridad, ya que la primera quiere proteger la información en cuanto a los diferentes tipos de riesgos a los que se enfrentan, en los distintos estados y formas.
En caso contrario, la ciberseguridad se encuentra enfocada, de forma principal, en la información que se encuentra en formato digital y los sistemas interconectados que la procesan, transmiten o almacena, por lo que tienen una mayor cercanía a la seguridad informática.
La seguridad de la información se encuentra sustentada por diferentes metodologías, normas, herramientas, estructuras, técnicas, tecnología y otros elementos, que soportan la idea de proteger las diferentes áreas de la información, además se involucra durante la aplicación y la gestión de las medidas de seguridad apropiadas, mediante un enfoque holístico.
Por lo general, los límites no importan para cada concepto, el principal objetivo es proteger la información, de forma independiente de que ésta pertenezca a una empresa tratándose de información personal, ya que nadie se encuentra exento de padecer algún riesgo en seguridad.
Una vez que ya conocemos la definición de cada uno de los términos y el alcance que tienen, podemos utilizarlos en diferentes momentos ya que seguramente podemos seguir aplicando el concepto. Con los avances tecnológicos que se incorporan cada vez más a nuestras vidas cotidianas, la dependencia de la tecnología se incrementa, y como consecuencia se genera la necesidad de aplicar la ciberseguridad.
Software para Sistema de Gestión de Seguridad de la Información
El Software ISOTools Excellence cuenta con diferentes aplicaciones que trabajan para que la Seguridad de la Información con las que cuentan las organizaciones no pierda ninguna de sus propiedades más importantes, como puede ser la integridad, la confidencialidad, etc. Además, permite implementar, mantener y mejorar el SGSI basado en la norma ISO 27001.