En esta entrada vamos a explicar qué es la seguridad de la información y sus conceptos básicos, así como su importancia para las empresas y su funcionamiento, especialmente a la hora de salvaguardar la información y datos que manejan tanto de sus clientes como de sus empleados.
¿Qué es la seguridad de la información? Definición y Conceptos básicos
La seguridad de la información es aquel conjunto de medidas y técnicas empleadas para controlar y salvaguardar todos los datos que se manejan dentro de una empresa o institución y asegurar que estos no salgan del sistema establecido por la empresa. Es, además, una pieza clave para que las compañías puedan actualmente llevar a cabo sus operaciones, ya que los datos manejados son esenciales para la actividad que desarrollan.
Pese a que mayoritariamente, los sistemas de las empresas se basan en las nuevas tecnologías, no debemos confundir seguridad de la información y seguridad informática, que si bien están íntimamente relacionadas, no son el mismo concepto.
Es importante entender que cualquier empresa, con independencia de su tamaño, maneja datos confidenciales, bien de sus clientes, bien de sus trabajadores o bien de ambos, y que por ello debe establecer las medidas de seguridad en protección de datos necesarias para garantizar el correcto tratamiento de estos, algo que, con la entrada en vigor primero de LOPD y después del RGPD, no es una opción, sino una obligación.
Objetivos de la seguridad de la información
Partiendo del hecho de que la seguridad de la información puede variar en función de las características de cada empresa y del sector al que dedique su actividad económica, podemos hablar de una serie de objetivos comunes que comparten todas las empresas dentro del ámbito de la seguridad de la información y la protección de datos.
Encontramos estos objetivos de la seguridad de la información en la norma ISO 27001. Esta norma proporciona un modelo para la implantación de sistemas de gestión de seguridad de la información (SGSI), cuyo fin principal es la protección de los activos de información, es decir, equipos, usuarios e información.
Para establecer este sistema ISO de seguridad de la información hay que tener en cuenta tres aspectos fundamentales: integridad, confidencialidad y disponibilidad.
Integridad
Los sistemas que gestionan la información deben garantizar la integridad de la misma, es decir, que la información se muestra tal y como fue concebida, sin alteraciones o manipulaciones que no hayan sido autorizadas expresamente.
El objetivo principal es garantizar la transmisión de los datos en un entorno seguro, empleando protocolos seguros (cifrado) y técnicas para evitar riesgos.
Confidencialidad
La confidencialidad garantiza que solo las personas o entidades autorizadas tendrán acceso a la información y datos recopilados y que estos no se divulgarán sin el permiso correspondiente. Los sistemas de seguridad de la información deben garantizar que la confidencialidad de la misma no se ve comprometida en ningún momento.
Disponibilidad
El aspecto de disponibilidad garantiza que la información estará disponible en todo momento para aquellas personas o entidades autorizadas para su manejo y conocimiento. Para ello deben existir medidas de soporte y seguridad que permitan acceder a la información cuando sea necesario y que eviten que se produzcan interrupciones en los servicios.
La importancia de la seguridad de la información en la empresa
La seguridad de la información se ha convertido en un elemento clave para el funcionamiento de las empresas hoy en día, puesto que todas ellas manejan datos para poder realizar su actividad y necesitan garantizar su protección e integridad de acuerdo a las leyes vigentes.
Los sistemas de la seguridad de la información deben ser capaces de gestionar el riesgo existente y superarlo con el menor impacto para la empresa, es decir, deben ser capaces de garantizar la resiliencia de la empresa y sus sistemas de seguridad para prevenir, evitar y solucionar cualquier riesgo o ataque que se derive del tratamiento de la información y los datos.
Por ello, las empresas deben contar con soluciones tecnológicas adecuadas que no solo aseguren la protección, sino que también permitan conocer en todo momento el estado de dicha protección y que proporcionen las herramientas necesarias para garantizar la continuidad de la empresa y su actividad en caso de ataque.
3 tipos de información con las que trabajaría cualquier empresa
Hay 3 tipos de información con las que trabaja cualquier empresa, independientemente de su actividad o sector, y que deben ser tenidos en cuenta para llevar a cabo una protección de datos adecuada:
Crítica
La información crítica es aquella que es indispensable para el correcto funcionamiento de la empresa y sus operaciones. La información crítica es aquella que proporcionará beneficios a la empresa a medio y largo plazo, puesto que facilitará las ventas y el servicio al cliente.
Conocer qué información y datos son críticos servirá para establecer los protocolos de seguridad necesarios para su protección.
Valiosa
La información valiosa es aquella necesaria para que la empresa siga adelante. Tiene un alto componente subjetivo y lo que para una empresa es información valiosa, para otra puede no serlo, puesto que depende de la actividad y el sector.
Hay que tener en cuenta que no toda información y datos tienen el mismo valor y las empresas deben analizar cuáles son necesarios y cuáles no para el funcionamiento del negocio.
Conociendo cuál es la información valiosa para empresa, podemos establecer los servicios de seguridad informática necesarios para protegerla.
Sensible
La información es sensible en el sentido de que es información privada de los clientes de la empresa y, por lo tanto, solo deben tener acceso a la misma personas autorizadas. Los sistemas de seguridad de la información deben garantizar la protección de datos de los clientes (usuarios).
¿Cómo debe gestionar la seguridad de la información una empresa para minimizar el riesgo de incidentes?
Puesto que el objetivo principal de la seguridad de la información es asegurar la continuidad del negocio y reducir al mínimo el daño previniendo posibles incidentes, así como reducir el impacto si finalmente se producen, las empresas deben crear una metodología de gestión de ese riesgo, mediante la cual analicen el grado de exposición de los activos más importantes (principalmente la información y los datos) y establezcan protocolos de actuación ante posibles incidentes.
La metodología empleada debe tener en cuenta las amenazas existentes que pueden explotar vulnerabilidades tanto del sistema y los procesos de la empresa como del propio personal. Todo sistema de seguridad debe garantizar la integridad y disponibilidad de la información, así como su inviolabilidad.
Para ello, las empresas pueden recurrir a softwares que garanticen la protección de la información o recurrir a una empresa externa especializada en la gestión de estos servicios de protección, de manera que administren los sistemas, los monitoricen, gestionen las incidencias y generen informes en los que se propongan mejoras continuas.
¿Cuáles son las diferencias entre Seguridad de la Información y Ciberseguridad?
Aunque seguridad de la información y ciberseguridad con conceptos entrelazados, hay diferencias entre ellos. Para empezar, podemos entender la seguridad de la información como un todo y la ciberseguridad como una parte de ese todo. Es decir, la seguridad de la información abarca todas las medidas y procesos destinados a proteger la información y datos valiosos para la empresa, abarcando tanto el formato digital como el físico. Mientras que la ciberseguridad se limita a la protección de la información dentro de los entornos digitales de la empresa.
La seguridad de la información evalúa riesgos y previene amenazas basándose en aspectos defensivos para proteger los sistemas. Por su parte, la ciberseguridad contempla medidas de protección basadas en el ataque contra dichas amenazas (brechas de seguridad).
La seguridad de la información usa técnicas, herramientas, estructuras dentro de la organización y metodologías para proteger la información en todas las facetas, ya sean sistemas informáticos, almacenamiento, etc., estén estos o no conectados entre sí. Mientas que la ciberseguridad se aplica a los sistemas interconectados, puesto que por ellos viaja y reside la información digital que es necesario proteger.
Escribe aquí tu comentario