Seguridad de La Información Vs Ciberseguridad

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1de 9

ISO 27001: Diferencia entre ciberseguridad y seguridad de la información

La norma ISO 27001 ofrece los requisitos necesarios para establecer un Sistema de Gestión de
Seguridad de la Información en las organizaciones.

Hoy en día, se utiliza el término “ciberseguridad” que puede encontrase asociado a otras
palabras como ciberespacio, ciberamenazas, etc. En ocasiones se puede utilizar como
sinónimo de Seguridad de la Información, pero esto no es del todo correcto.

El dilema se presenta cuando es necesario aplicar de forma adecuada todos los conceptos,
estando de acuerdo a las ideas que se pretenden expresar. Si bien existen diferentes
definiciones para la ciberseguridad es muy importante conocer cuándo se utiliza de forma
correcta, de acuerdo con el contexto y saber las diferencias entre los términos como puede ser
la seguridad de la información.

Estándares y Normas para Asegurar la Información

Para la correcta administración de la seguridad de la información, se deben establecer


y mantener acciones que busquen cumplir con los tres requerimientos de mayor
importancia para la información, estos son [5]:

• Confidencialidad: Busca prevenir el acceso no autorizado ya sea en forma


intencional o no intencional a la información. La pérdida de la confidencialidad puede
ocurrir de muchas maneras, como por ejemplo con la publicación intencional de
información confidencial de la organización. 238

• Integridad: Busca asegurar: o Que no se realicen modificaciones por personas no


autorizadas a los datos o procesos. Que no se realicen modificaciones no autorizadas
por personal autorizado a los datos o procesos. Que los datos sean consistentes tanto
interna como externamente.

• Disponibilidad: Busca asegurar acceso confiable y oportuno a los datos o recursos


para el personal apropiado. (Burgos J, Campos P, P. 237-238)

Seguridad de la Información.

Para poder establecer la diferencia con la seguridad de la información, debemos revisar varios
conceptos más que nos permiten tener el contexto general. Según la Real Academia Española
(RAE), la seguridad se puede definir como: “Libre o exento de todo peligro, daño o riesgos”

Sin embargo, es una condición ideal, ya que en la realidad no es posible tener la certeza de que
se puedan evitar todos los peligros.

El principal propósito de seguridad en todos los ámbitos de aplicación es el de reducir riegos


hasta un nivel que se pueda aceptar y que los interesados puedan mitigar las amenazas
latentes. Es decir, la seguridad también entiende que las actividades se encuentran destinadas
a proteger del peligro a los activos sensibles de la organización.

La información se puede encontrar en diferentes formatos, por ejemplo en formato digital


(utilizando los diferentes medios electrónicos que existen hoy en día), de forma física (bien sea
escrita o impresa), además de manera no representada, esto pueden ser ideas o conocimiento
de personas que pertenecen a la organización. Los activos de información se pueden encontrar
en diferentes formatos.

En un Sistema de Gestión de Seguridad de la Información ISO 27001 la información se puede


almacenar, procesar o trasmitir de diferentes maneras:

 Formato electrónico
 Forma verbal
 Mediante mensajes escritos
 Impresos

Un amplio marco de trabajo multi-dimensional en el que se relaciona gestión del


conocimiento, gestión de riesgos, incidentes de seguridad, sistemas de información y redes,
recursos humanos, aspectos económicos, gobernanza, políticas, y buenas prácticas.

Un marco de seguridad de la información es una serie de procesos documentados que a


menudo se personalizan para resolver problemas específicos de seguridad de la información.

Gestión del conocimiento: Según una definición propuesta por Wallace (2000), la gestión del
conocimiento permite habilitar personas, equipos y organizaciones completas en la creación,
compartición y aplicación del conocimiento, colectiva y sistemáticamente, para mejorar la
consecución de los objetivos de negocio. El interés por este campo sigue creciendo, aunque
son escasos los estudios sobre cómo proteger los activos basados en conocimiento (Desouza;
Vanapalli, 2005).

Buenas Prácticas: Según Von-Solms (2000), las buenas prácticas internacionales para la gestión
de la seguridad de la información (GSI) son la compilación de experiencias combinadas de
muchas compañías internacionales influyentes, acerca de la forma en que gestionan la
seguridad de la información.
Gobernanza de seguridad de la información: La gobernanza como concepto aislado
representa “el proceso de toma de decisiones y el proceso por el que las decisiones son
implementadas” (Comisión Económica y Social, s.f.). Al hablar de gobernanza corporativa se
hace referencia al compromiso de la dirección ejecutiva de una compañía y consiste en “un
conjunto de políticas y controles internos por los cuales se dirigen y gestionan las
organizaciones, sin importar su tamaño” (National Cyber Security, 2004).

Políticas de Seguridad de la información: Existe acuerdo en que una buena política de


seguridad de información es la base para la misma en las organizaciones (Baskerville; Siponen,
2002; Knapp et al., 2009; Von-Solms; Von-Solms, 2004a; David, 2002). Según David (2002), “sin
políticas de seguridad formales, la seguridad es arbitraria, sujeta a los caprichos de aquellos
que la administran”.

Los resultados de la evaluación y análisis de riesgos deben conducir a la elaboración de la


política de seguridad, que consiste en un documento que indica el compromiso y apoyo de la
dirección, así como la definición del papel que debe jugar en la consecución de la misión y
visión de la organización. En esencia se documenta para explicar la necesidad de seguridad de
la información (y sus principios) a todos los usuarios de los recursos de información (Höne;
Eloff, 2002).

Gestión de riesgos: En este sentido, como uno de los primeros pasos en la implantación de un
protocolo de seguridad de la información, se debe llevar a cabo una evaluación del riesgo (risk
assessment), que consiste en identificar los riesgos de seguridad de un sistema y determinar su
probabilidad de ocurrencia, su impacto, y los mecanismos que mitiguen ese impacto (Syalim;
Hori; Sakurai, 2009).

Incidentes de seguridad: También mencionados en la bibliografía como eventos o fallas de


seguridad, siguen aumentando en frecuencia y sofisticación (Johnston; Warkentin, 2010;
Nazareth; Choi, 2015). La mayoría corresponden a aspectos técnicos como violaciones a los
sistemas de información y redes (Kraemer; Carayon; Clem, 2006), en parte debido a que los
consumidores presionan por un mayor acceso a los datos y aplicaciones en un mundo cada vez
más conectado, lo que origina que se incrementen las oportunidades de ataques en las
brechas de seguridad de estos sistemas y redes (Nazareth; Choi, 2015).
Recursos humanos: El rol de las personas es vital para el éxito de cualquier organización, pero
son el eslabón más débil en seguridad de la información (Vroom; Von-Solms, 2004; Bulgurcu;
Cavusoglu; Benbasat, 2010).

Sistemas de información y redes: Es una condición que resulta de la creación y el


mantenimiento de las medidas de protección que permiten a una empresa llevar a cabo sus
funciones a pesar de los riesgos planteados por las amenazas a la disponibilidad de los
sistemas de información (Cruz-Zapata; Fernández-Alemán; Toval, 2015).

Aspectos económicos: La seguridad de la información, que antes se consideraba solamente


como gastos generales, es reconocida ahora como una inversión estratégica para las
empresas. Las iniciativas de seguridad requieren de una buena gestión y a su vez de esfuerzos
económicos, puesto que el costo de la implementación de mejores prácticas como solución a
los problemas es de enormes proporciones para la mayoría de las organizaciones.

Arquetipos Comunes Para las Funciones y Responsabilidades en Seguridad


de la Información.

En este sentido, los analistas del CEB CIO Leadership Council han diseñado un estudio base de
cuatro arquetipos de patrones relacionados con el ejercicio de la función de seguridad de la
información (operaciones, gobierno, operaciones y gobierno, operaciones, gobierno y aspectos
legales).

Arquetipo Orientado a las Operaciones, es claro que el énfasis estará en los controles de
tecnología, en las tecnologías de seguridad de la información, su implementación y
aseguramiento como forma de responder a las expectativas de la gerencia sobre la protección
de la información.

Arquetipo Basado en Gobierno, el lenguaje dominante es de los riesgos de la información, el


de la protección del modelo de generación de valor de la empresa, el de la búsqueda de
estrategias de protección del valor de la empresa, el aseguramiento del cumplimiento
normativo en el contexto del gobierno corporativo y en el entendimiento del umbral de riesgo
conocido que la empresa declara.

La combinación de operaciones y gobierno, mezcla dos mundos con responsabilidades


algunas veces incompatibles. En las operaciones se tiene el control de los dispositivos de
seguridad informática, cuyas normas de operación y control se definen desde el gobierno de la
seguridad de la información, lo cual ocasiona una colisión entre quien planea y verifica y el que
actúa y opera.

El arquetipo que combina la vista anterior y le agrega los aspectos jurídicos, revela aún más
la necesidad del área de seguridad de la información de estar atenta a los cambios legislativos
y normativos, con el fin de ajustar su práctica frente al entorno regulado donde opera la
organización.

Cualquiera que sea el arquetipo que prevalezca en una organización o la forma como se
encuentre organizada la función de seguridad de la información ésta deberá atender como
mínimo los siguientes elementos:

• La mutación del entorno de amenazas.

• La explosión de información y de dispositivos portátiles.

• El soporte electrónico a litigios jurídicos.

• Las regulaciones financieras y las propias de cada industria.

• La protección de la privacidad en entornos digitales.

CIBERSEGURIDAD

En el 2011, un grupo de trabajo bilateral rusoestadounidense del EastWest Institute (EWI) y la


Universidad de Moscú elaboraron un marco de terminología internacional en el cual definieron
la Ciberseguridad como una propiedad del ciberespacio, que tiene la capacidad de resistir las
amenazas intencionales y no intencionales, responder y recuperarse. (Rauscher y Yashenko,
2011,).

La Ciberseguridad es la capacidad de controlar el acceso a las redes, sistemas de información y


todo tipo de recursos de información. La ciberseguridad serefiere a métodos de uso, procesos y
tecnologías para prevenir, detectar y recuperarse de daños a la confidencialidad, integridad y
disponibilidad de la información en el ciberespacio. (Leiva, E.,2015).

La UIT (Unión Internacional de Telecomunicaciones), aprobó el 2008 una definición de


ciberseguridad la la cual se expresa en la Recomendación UIT–T X.1205:

La ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad,


salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación,
prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de
la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios
son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los
sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la
información transmitida y/o almacenada en el ciberentorno. La ciberseguridad garantiza
que se alcancen y mantengan las propiedades de seguridad de los activos de la organización
y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno. Las
propiedades de seguridad incluyen una o más de las siguientes: Disponibilidad, Integridad y
Confidencialidad (IUT,2008,P.3).
El ciberespacio se refiere al conjunto de medios físicos y lógicos que conforman las
infraestructuras de los sistemas de comunicaciones e informáticos. (Fojón, E., 2010). El
ciberespacio se puede también se puede definir como un conjunto de sistemas de información
interconectados, dependientes del tiempo, junto con los usuarios que interactúan con estos
sistemas. (Ottis, R. and Peeter, L., 2010)

Amenazas más comunes

A pesar que los ataques informáticos están en constante evolución y renovación existen varias
amenazas que son las más comunes como:

 Ciberguerra: Ataques que tienen como actores principales Estados y se caracterizan por
sus fines políticos. Los ciberdelincuentes intentan recopilar la mayor cantidad de
información posible y datos relevantes que puedan comprometer, en un futuro, a un
partido político o un gobierno.
 Ciberterrorismo: Estos ataques también intentan recopilar la mayor información
posible, su objetivo principal es crear un ambiente de terror entre los ciudadanos. Uno
de los grandes miedos de la sociedad actual es perder la estabilidad debido a ello.
 Cibercrimen: Los hackers acceden a sistemas informáticos protegidos e intentan
obtener ganancias financieras. Esto también se realiza a nivel de usuario, tomando el
control de dispositivos concretos y solicitando cantidades económicas a cambio de su
liberación entre otras posibilidades. (Obs-edu.com,2018)

Ciclo de Vida de la ciberseguridad

En el entorno tecnológico, la ciberseguridad se debe considerar como un proceso y no como una


actividad aislada y diferenciada del resto de los servicios o herramientas informáticas. En la
actualizad vivimos en un mundo digitalizado y donde el Internet es una parte esencial de
cualquier servicio, organización o entorno, la seguridad es una cualidad que hay que cuidar
desde el principio y en cuya gestión participa gran cantidad de agentes. Comparando con la
salud en las personas, los ciberataques se pueden equiparar a una enfermedad que debemos
ser capaces de prevenir y ante la que debemos ser capaces de reaccionar, generando los
anticuerpos necesarios para volver al estado de salud inicial. La ciberseguridad en este sentido
es un proceso que implica prevención, detección y reacción o respuesta, y que debe incluir un
elemento de aprendizaje para la mejora continua del propio proceso. Dado el carácter global
que tienen actualmente los servicios tecnológicos, y en consecuencia a las amenazas, cada vez
es más necesario elaborar modelos de seguridad que tengan este mismo carácter global por lo
cual es imprescindible dotar los sistemas de ciberseguridad de una inteligencia que permita este
aprendizaje, que sea capaz de integrar información de diferente naturaleza, asociando
diferentes señales que por separado no son relevantes pero que de manera conjunta puedan
identificar una amenaza global. De esta forma el compartir datos y el desarrollo de modelos
open source se convierte en un factor decisivo para conseguir abordar el problema de una forma
integral. ( Academia.edu., 2016). Las etapas de la gestión de ciberseguridad se muestran en el
siguiente gráfico:
Control de accesos y gestion de identidades

Prevención Prevención de fuga de datos

Seguridad de Red

Gestión de las Vulnerabilidades


Detección
Monitorización continua

Sistemas de Recuperación
Respuesta
Contramedidas

Compartición de datos
Inteligencia
Datos Open Source

Principales diferencias entre ciberseguridad y seguridad de la información

Una vez que se ha revisado ambos conceptos, es posible identificar todas las diferencias y
conocer en el momento se debe aplicar un concepto u otro. En primer lugar, podemos resaltar
que la seguridad de la información presenta un mayor alcance que la ciberseguridad, ya que la
primera quiere proteger la información en cuanto a los diferentes tipos de riesgos a los que se
enfrentan, en los distintos estados y formas. La ciberseguridad se enfoca principalmente en la
información que se encuentra en formato digital y los sistemas interconectados que la procesan,
transmiten o almacena, por lo que tienen una mayor cercanía a la seguridad informática.
La seguridad de la información se sustenta por diferentes metodologías, normas, herramientas,
estructuras, técnicas, tecnología y otros elementos, que soportan la idea de proteger las
diferentes áreas de la información, además se involucra durante la aplicación y la gestión de las
medidas de seguridad apropiadas, mediante un enfoque holístico.( Toro, R., 2015)
Bibliografia:

Cano M, J. (2014). La función de seguridad de la información. Presiones actuales y emergentes


desde la inseguridad de la información. Retrieved from
https://m.isaca.org/Journal/archives/2014/Volume-6/Documents/The-Information-Security-
Function_joa_Spa_1114.pdf

Cárdenas-Solano, L., Martínez-Ardila, H., & Becerra-Ardila, L. (2016). GESTIÓN DE SEGURIDAD


DE LA INFORMACIÓN. Retrieved from
http://www.elprofesionaldelainformacion.com/contenidos/2016/nov/10.pdf

Toro, R. (2018). ISO 27001: Diferencia entre ciberseguridad y seguridad de la información.


Retrieved from https://www.pmg-ssi.com/2015/06/iso-27001-diferencia-entre-ciberseguridad-y-
seguridad-de-la-informacion/

Burgos Salazar1, J., & Campos, P. (2018). Modelo Para Seguridad de la Información en TIC.
Retrieved from http://ceur-ws.org/Vol-488/paper13.pdf

- Rauscher, K. and YASCHENKO, V. (2011). CRITICAL TERMINOLOGY FOUNDATIONS. [online]


Files.ethz.ch. Available at: https://www.files.ethz.ch/isn/130080/Russia-
U%20S%20%20bilateral%20on%20terminology%20v76%20(2)-1.pdf [Accessed 18 Nov. 2018].

- Leiva, E. (2015). Estrategias Nacionales de Ciberseguridad: Estudio Comparativo Basado en


Enfoque Top-Down desde una Visión Global a una Visión Local. [online] Revistas.unla.edu.ar.
Available at: http://revistas.unla.edu.ar/software/article/view/775/826 [Accessed 17 Nov.
2018].

- Itu.int. (2008). X.1205 Aspectos generales de la ciberseguridad. [online] Available at:


https://www.itu.int/rec/T-REC-X.1205-200804-I/es [Accessed 18 Nov. 2018].

- Obs-edu.com. (2018). ¿Qué es ciberseguridad y de qué fases consta? | OBS Business


School. [online] Available at: https://www.obs-edu.com/int/blog-investigacion/sistemas/que-es-
ciberseguridad-y-de-que-fases-consta [Accessed 18 Nov. 2018].

- Fojón, E. (2010). Ciberseguridad en España: una propuesta para su gestión. [online]


Realinstitutoelcano.org. Available at:
http://www.realinstitutoelcano.org/wps/wcm/connect/c1360e8042e4fcf49e51ff5cb2335b49/ARI1
02-
2010_Fojon_Sanz_ciberseguridad_Espana.pdf?MOD=AJPERES&CACHEID=c1360e8042e4fcf
49e51ff5cb2335b49 [Accessed 18 Nov. 2018].
- Ottis, R. and Peeter, L. (2010). Cyberspace: Definition and Implications Rain Ottis, Peeter ...
Definition and Implications Rain Ottis, Peeter Lorents Cooperative Cyber Defence Centre of
Excellence, Tallinn, Estonia rain.ottis@. [online] dokumen.tips. Available at:
https://dokumen.tips/documents/cyberspace-definition-and-implications-rain-ottis-peeter-
definition-and-implications.html [Accessed 18 Nov. 2018].

- Academia.edu. (2016). Ciberseguridad. [online] Available at:


https://www.academia.edu/34923163/Ciberseguridad [Accessed 18 Nov. 2018].

-Toro, R. (2015). ISO 27001: Diferencia entre ciberseguridad y seguridad de la información.


[online] PMG SSI - ISO 27001. Available at: https://www.pmg-ssi.com/2015/06/iso-27001-
diferencia-entre-ciberseguridad-y-seguridad-de-la-informacion/ [Accessed 18 Nov. 2018].

También podría gustarte