ISO 27001: ¿Qué diferencia existe entre la seguridad informática y la seguridad de la información?

Sistema de Gestión de Seguridad de la Información

Durante este post vamos a ver la diferencia entre seguridad informática y seguridad de la información. La norma ISO 27001 nos puede ayudar mucho a conocer la seguridad de la información gracias a la implementación de un Sistema de Gestión de Seguridad de la Información.

Nos encontramos que todos los especialistas en seguridad basan sus conocimientos y experticia sobre el aspecto técnico tradicional de la seguridad, es decir en las áreas IT, aunque muchos de ellos consideran las cuestiones propias como el nuevo aspecto en las comunicaciones y que hace que hoy día se hable del TIC.

Además de tener un enfoque prácticamente técnico, los especialistas solo se manejan con las vulnerabilidades y en parte con amenazas en forma de ataques, todo esto no es suficiente para hablar de todos los riesgos correspondientes.

Para realizar una evaluación de riesgos se necesita realizar evaluación a los activos, además de identificar a todas las amenazas que puedan aprovechar y explotar las vulnerabilidades de dichos activos. Con todo esto ya sí podemos realizar la determinación de los riesgos tomando como referencia:

• Activos: con un rango de 5 a 8.
• Vulnerabilidades: rango de 3.
• Amenazas: rango de 3 a 5.

Si después se pretende determinar qué hacer con los diferentes riesgos, en el mayor número de casos se intenta mitigar hasta alcanzar un nivel aceptable, por lo que habrá que implementar las medidas de seguridad oportunas para tal efecto.

Si encontramos riesgos con características técnicas, el enfoque más eficiente es llevar a cabo un análisis gracias a los estándares técnicos o bien gracias a las normas internacionales, como puede ser la ISO 27002, en la que se establecen todos los controles necesarios y el nivel en que se debe implementar para disminuir los riesgos que se encuentren a niveles aceptables.

Hasta aquí hablamos de seguridad informática. Este término es una gran traducción del correspondiente en inglés, information security, el sentido que recoge esta problemática se acerca mucho más a términos como pueden ser “computer security” o “network security”.

Nos encontramos en un proceso en que se está generando un cambio, por lo que el término Seguridad de la Información está tomando una traducción mucho más acertada sobre information security. Aunque todavía existen muchos especialistas que siguen nombrándolo según el puro enfoque técnico que hemos comentado con anterioridad.

La Seguridad de la Información es muy amplia, ya que no es sólo una cuestión técnica sino que supone una responsabilidad de la alta dirección de la organización y de los directivos de esta.

Debemos tener en cuenta que el ambiente TIC se encuentra orientado al servicio y a la actuación en función de los procesos de negocio. Se difiere de los procesos centrales de la propia organización que constituyen el núcleo de los negocios de la organización.

Si no se involucran las unidades activas y los líderes de negocio, como pueden ser, ejecutivos, directivos, etc. de las organizaciones, no podrá existir un plan de Seguridad de la Información, a partir de todos los riesgos determinados. Todo esto se lleva a cabo dentro del sistema de dirección y control propio del gobierno corporativo.

Se debe considerar las personas, los procesos y las funciones de negocio, además de la protección de todos los activos/recursos de la organización. En toda la empresa impulsora, propietarita y beneficiaria de la Seguridad de la Información, dentro de un marco de responsabilidades compartidas.

Se deben considerar todos los riegos técnicos de TIC, además de que la seguridad se extienda por toda la organización, es decir, son riegos organizacionales, operacionales y físicos.

Los riesgos operaciones  son cada día mucho más cruciales en lo referido a Seguridad de la Información. Las vulnerabilidades de este tipo de riesgo se extienden a lo largo de una amplia gama de grises, muy relacionada con el comportamiento humano y las opiniones subjetivos de las personas, la cultura empresarial, la forma de comunicarse, la resistencia al cambio, etc.

Determinar las diferente vulnerabilidades de una organización es un proceso muy diferente a las mediciones o lecturas tomadas con los ordenadores, servidores, rúters, etc. como generalmente no se disponen e datos históricos suficientes, realizar un análisis exacto se hace muy difícil. El análisis es completado con información que se puede recabar y que corresponda con la información subjetiva surgida de las diferentes opiniones. Las opiniones pueden ser identificadas y analizadas mediante el método de investigación prospectiva, seguido muy de cerca por entrevistas personales que establecen el valor de dichas opiniones.

La evaluación de los activos no se encuentra al alcance de la mayoría de los técnicos. Los propietarios de los procesos de negocio son quienes pueden establecer un valor adecuado de los mismos y de allí derivar a los valores de los activos que se manejan en las diferentes funciones que componen cada caso.

La extensión que se ha llevado a cabo de seguridad informática al de seguridad de la información, implica aumentar el campo de visión del marco de riesgos de negocios respectos a la perspectiva tradicional de seguridad técnica, basada en las vulnerabilidades.

En el contexto de la seguridad de la información los riesgos de negocios incluyen, no sólo las vulnerabilidades y las amenazas, sino que también incluyen el conjunto de factos que determinan los riesgos:

• Activos
• Vulnerabilidades
• Amenazas

Los riesgos de negocio que se consideran incluyen los riesgos organizacionales, operacionales, físicos y de sistemas TIC.

Podemos obtener un enfoque completo de seguridad de la información en la parte en la que se considera los recursos necesarios para disminuir los riesgos dentro de un plan de seguridad, no se puede considerar un gasto sino una inversión para la organización. Requiere de un análisis y determinar de una forma cuantificable el retorno de las inversiones en seguridad.

El Software ISO27001 facilita a las organizaciones la implementación de un Sistema de Gestión de Seguridad de la Información de una forma fácil y sencilla, ya que ofrece las herramientas necesarias para llevarlo a cabo.