¿Qué es la seguridad de la información y cuantos tipos hay?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

¿Qué es la seguridad de la información y cuantos tipos hay?

¿Qué es la seguridad de la información y cuantos tipos hay?

Seguridad de la información

La seguridad de la información es el conjunto de medidas y técnicas utilizadas para controlar y salvaguardar todos los datos que se manejan dentro de la organización y asegurar que los datos no salgan del sistema que ha establecido la organización. Es una pieza clave para que las empresas puedan llevar a cabo sus operaciones, ya que los datos que maneja son esenciales para la actividad que desarrollan.

De forma mayoritaria, los sistemas de las organizaciones se basan en las nuevas tecnologías, no podemos confundir seguridad de la información y seguridad informática que, si bien están íntimamente relacionadas, no siendo el mismo concepto.

Es importante comprender que cualquier organización, independientemente de su tamaño, cuenta con dato confidenciales, bien de sus clientes, bien de sus trabajadores o bien de ambos, y que por ello tiene que establecer las medidas de seguridad en protección de datos necesarios para garantizar el correcto tratamiento de estos, algo que, con la entrada en vigor primero de LOPD y después de RGPD, no es una opción, sino una obligación.

Objetivos de la seguridad de la información

Si partimos del hecho de que la seguridad de la información puede cambiar en función de las características de cada organización y del sector al que dedique su actividad económica, podemos hablar de una serie de objetivos comunes que comparten todas las organizaciones del ámbito de la seguridad de la información y la protección de datos.

Encontramos estos objetivos de la seguridad de la información en la norma ISO 27001. La norma establece un modelo para la implementación de sistemas de gestión de seguridad de la información. El principal fin que persigue la norma ISO 27001 es la protección de los activos de información, es decir, equipos, usuarios e información.

Se establece este sistema ISO de seguridad de la información hay que tener en cuenta tres aspectos fundamentales:

  • Integridad
  • Confidencialidad
  • Disponibilidad

Integridad

Los sistemas que gestionan la información tendrán que garantizar la integridad de la misma, es decir, que la información se muestra tal y como fue concebida, sin alteraciones o manipulaciones que no hayan sido autorizadas de forma expresa.

El objetivo principal es garantizar la transmisión de los datos en un entorno seguro, utilizando protocolos seguros y técnicas para evitar posibles riesgos.

Confidencialidad

La confidencialidad garantiza que solo las personas o entidades autorizadas tendrán acceso a la información y datos recopilados y que estos no se divulgarán sin el permiso de forma correspondiente. Los sistemas de seguridad de la información tendrán que garantizar que la confidencialidad de la misma no se ve comprometida en ningún momento.

Disponibilidad

En este aspecto se garantiza la información que se encuentra disponible en todo momento para todas las personas o entidades autorizadas para su manejo y conocimiento. Para esto deberán existir medidas de soporte y seguridad que se puedan acceder a la información cuando resulte necesario y que evite que se establezcan interrupciones en los servicios.

¿Porqué es importante la seguridad de la información en la organización?

La seguridad de la información se ha convertido en un elemento clave para el funcionamiento de las organizaciones hoy en día, ya que todas ellas manejan datos para poder llevar a cabo su actividad y necesita garantizar su protección e integridad según las leyes vigentes.

Los sistemas de seguridad de la información deben ser capaces de gestionar el riesgo existente y supéralo con el menor impacto para la organización, es decir, tiene que ser capaces de garantizar la resiliencia de la organización y sus sistemas de seguridad con lo que prevenir, evitar y solucionar cualquier riesgo o ataque que se derive del tratamiento de la información y los datos.

Las organizaciones tienen que contar con soluciones tecnológicas adecuadas que no solo aseguren la protección, sino que también permitan conocer en todo momento el estado de dicha protección y que proporcionen las herramientas necesarias para garantizar la continuidad de las organizaciones y su actividad en caso de que sufran un ataque.

3 tipos de información con las que trabajaría cualquier organización

Hay 3 tipos de información con las que trabaja cualquier organización, independientemente de su actividad o sector, y que tiene que ser tenidos en cuenta para realizar a cabo una protección de datos adecuada:

Crítica

La información crítica es la que es indispensable para el correcto funcionamiento de la organización y sus operaciones. La información crítica es la que establece los beneficios de la organización a medio y largo plazo, ya que facilitará las ventas y el servicio al cliente.

Conocer la información y los datos son necesarios para establecer todos los protocolos de seguridad necesarios para su protección.

Valiosa

Es la información que la organización siga adelante. Tiene un alto componente subjetivo y lo que para una organización es información valiosa, para otra puede no serlo, ya que depende de la actividad y el sector.

No toda la información y datos tienen el mismo valor y las empresas deben analizar cuáles son necesarios y cuáles no para el funcionamiento de negocio.

Sensible

La información es sensible en el sentido de que es información privada de los clientes de la organización y, por lo tanto, solo tiene que tener acceso a las mismas personas autorizadas. Los sistemas de seguridad de la información tienen que garantizar la protección de datos de los clientes.

Diplomado ISO 27001 con la Escuela Europea de Excelencia

La evaluación y tratamiento de riesgos en ISO 27001 es un punto fundamental de la norma que será estudiado junto a todos los demás en el Diplomado Implementador de Sistemas de Gestión de Seguridad de la Información con la ISO/IEC 27001:2013. Tras su realización un alumno será capaz de implementar y auditar un SGSI en cualquier tipo de organización.

No dude en convertirse en un experto en seguridad de la información matriculándose en este curso formativo aquí.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Cargando…