Dos cosas que a menudo se confunden entre sí: la seguridad de las tecnologías de la información (TI) y la seguridad de la información. En la era de la digitalización, la información suele procesarse, almacenarse o transportarse con la ayuda de las TI - En la época de la digitalización, la información se procesa, almacena o transporta sobre todo con la ayuda de las TI - ¡pero a menudo la seguridad de la información sigue siendo más analógica de lo que podríamos pensar! Básicamente, la seguridad informática y la seguridad de la información están estrechamente relacionadas. Por lo tanto, se requiere un enfoque sistemático para la protección eficaz de la información confidencial, así como de la propia TI.

Loading...

Seguridad informática vs. seguridad de la información

La seguridad de la información es algo más que la seguridad informática. Se centra en toda la empresa. Al fin y al cabo, la seguridad de la información confidencial no sólo se dirige a los datos procesados por los sistemas electrónicos. La seguridad de la información abarca todos los activos de la empresa que deben protegerse, incluidos los que se encuentran en soportes de datos analógicos, como el papel.

"La seguridad informática y la seguridad de la información son dos términos que (todavía) no son intercambiables".

Objetivos de protección de la seguridad de la información

Los tres objetivos esenciales de protección de la seguridad de la información -confidencialidad, disponibilidad e integridad- se aplican, por tanto, también a una carta con documentos contractuales importantes, que debe llegar a la puerta de su destinatario a tiempo, de forma fiable e intacta, transportada por un mensajero, pero totalmente analógico. Y estos objetivos de protección se aplican igualmente a una hoja de papel que contenga información confidencial, pero que esté sobre un escritorio desatendido para que cualquiera pueda verla o que esté esperando en la fotocopiadora, de libre acceso, para que se pueda acceder a ella sin autorización.

Por tanto, la seguridad de la información tiene un alcance más amplio que la seguridad informática. La seguridad informática, en cambio, se refiere "sólo" a la protección de la información en los sistemas informáticos.

La seguridad informática según la definición

¿Qué dicen los organismos oficiales? La seguridad informática es "un estado en el que los riesgos presentes en el uso de la tecnología de la información debido a las amenazas y vulnerabilidades se reducen a un nivel aceptable mediante medidas adecuadas". La seguridad informática es, por tanto, el estado en el que la confidencialidad, la integridad y la disponibilidad de la información y la tecnología de la información están protegidas por medidas adecuadas". Según la Oficina Federal Alemana de Seguridad de la Información (BSI).

Seguridad de la información = seguridad informática más X

En la práctica, a veces se adopta un enfoque diferente, utilizando la regla empírica "seguridad de la información = seguridad informática + protección de datos". Sin embargo, esta afirmación, escrita como una ecuación, es bastante llamativa. Es cierto que la cuestión de la protección de datos en el marco del RGPD europeo tiene que ver con la protección de la intimidad, lo que exige a los encargados del tratamiento de los datos personales disponer de una TI segura y, por ejemplo, de un entorno de construcción seguro , lo que excluye el acceso físico a los registros de datos de los clientes. Sin embargo, esto deja fuera importantes datos analógicos que no requieren privacidad personal. Por ejemplo, los planos de construcción de la empresa y mucho más.

El término seguridad de la información contiene criterios fundamentales que van más allá de los aspectos puramente informáticos, pero siempre los incluye. Así, comparativamente, incluso las simples medidas técnicas u organizativas en el ámbito de la seguridad informática se adoptan siempre con el trasfondo de una adecuada seguridad de la información. Ejemplos de ello pueden ser:

  • Asegurar la alimentación del hardware
  • Medidas contra el sobrecalentamiento del hardware
  • Análisis de virus y programas seguros
  • Organización de las estructuras de carpetas
  • Configuración y actualización de los cortafuegos
  • Formación de los empleados, etc.

Es obvio que los ordenadores y los sistemas informáticos completos en sí mismos no necesitarían ser protegidos. Al fin y al cabo, sin información que procesar o transportar digitalmente, el hardware y el software se vuelven inútiles.

La seguridad informática por ley, un ejemplo de Alemania

El tema de CRITIS: La ley de seguridad informática se centra en las infraestructuras críticas de diversos sectores, como el suministro de electricidad, gas y agua, el transporte, las finanzas, la alimentación y la sanidad. En este caso, la atención se centra en la protección de las infraestructuras informáticas contra la ciberdelincuencia, con el fin de mantener la disponibilidad y la seguridad de los sistemas informáticos. En particular, hay que proteger los actuales sistemas de telecontrol controlados digitalmente.

Estos objetivos de protección están en primer plano (extracto):

  • Consideración de los riesgos de seguridad informática
  • Creación de conceptos de seguridad informática
  • Creación de planes de emergencia
  • Adopción de precauciones generales de seguridad
  • Control de la seguridad en Internet
  • Utilización de métodos criptográficos, etc.

ISO 27001 - La norma de seguridad de la información

¿Qué dice la ISO 27001? La norma mundialmente reconocida para un sistema de gestión de la seguridad de la información (SGSI), con sus derivados ISO 27019, ISO 27017 e ISO 27701, se llama:

ISO/IEC 27001:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de la seguridad de la información - Requisitos

 

La versión revisada se publicó el 25 de octubre de 2022.  La versión actual (ISO/IEC 27001:2013) seguirá siendo válida hasta octubre de 2025.

El título de esta importante norma deja claro que la seguridad informática desempeña un papel importante en la seguridad de la información hoy en día y que seguirá creciendo en importancia en el futuro. Sin embargo, los requisitos establecidos en la norma ISO 27001 no se dirigen directamente a los sistemas digitales de TI solamente. Al contrario:

"A lo largo de la norma ISO/IEC 27001, se hace referencia a la "información" de forma generalizada, sin excepción".

En principio, no se hace ninguna distinción en cuanto a la forma analógica o digital en la que se procesa esta información o se debe proteger.

Para obtener más información valiosa sobre la seguridad de la información y la posibilidad de una evaluación, visite Certificación ISO 27001. 

Un SGSI implantado con éxito apoya una estrategia de seguridad holística: incluye medidas organizativas, una gestión del personal consciente de la seguridad, la seguridad de las estructuras informáticas desplegadas y el cumplimiento de los requisitos legales.

La seguridad de la información suele ser más analógica de lo que pensamos

Cualquiera que quisiera podría aplicar los requisitos de la norma ISO 27001 sobre un sistema completamente analógico y terminar con lo mismo que alguien que aplicara los requisitos a un sistema completamente digital. Sólo en el Anexo A de la conocida norma SGSI, que contiene los objetivos de las medidas y las medidas para los usuarios, aparecen términos como teletrabajo o dispositivos móviles. Pero incluso las medidas del anexo A de la norma nos recuerdan que todavía hay procesos y situaciones analógicas en cada empresa que deben tenerse en cuenta en relación con la seguridad de la información.

Quien habla en voz alta sobre temas delicados a través de un smartphone en público, por ejemplo en el tren, puede estar utilizando canales de comunicación digitales, pero su conducta es en realidad analógica. Y quien no limpie su escritorio, más vale que cierre su oficina para mantener la confidencialidad. Al menos lo primero, como una de las medidas más eficaces para proteger la información de forma segura, se suele seguir haciendo a mano, hasta ahora...

Seguridad informática frente a seguridad de la información - Conclusión

La seguridad informática y la seguridad de la información son dos términos que no son (todavía) intercambiables. Más bien, la seguridad informática es un componente de la seguridad de la información, que a su vez también incluye hechos, procesos y comunicación analógicos, lo que, por cierto, sigue siendo habitual en muchos casos hoy en día. Sin embargo, la creciente digitalización está acercando cada vez más estos términos, por lo que la diferencia de significado será probablemente más marginal a largo plazo.

Qué puede esperar de nosotros

DQS es su especialista en auditorías y certificaciones de sistemas y procesos de gestión. Con 35 años de experiencia y los conocimientos de 2.500 auditores en todo el mundo, somos su socio de certificación competente para todos los aspectos de la seguridad de la información y la protección de datos.

¿Tiene alguna pregunta?

Póngase en contacto con nosotros. Sin compromiso y de forma gratuita.

No sólo hablamos de competencia profesional, la tenemos: Puede esperar muchos años de experiencia profesional práctica de todos nuestros auditores DQS. Acumulada en organizaciones de todos los tamaños y sectores. Con esta diversidad se garantiza que su auditor principal de DQS empatizará con la situación individual de su empresa y su cultura de gestión. Nuestros auditores conocen los sistemas de gestión por su propia experiencia, es decir, han creado, gestionado y desarrollado ellos mismos un SGSI, y conocen los retos diarios por su propia experiencia. Estamos deseando hablar con usted.

Autor
André Saeckel

Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria del automóvil). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.

Loading...