Infosec 101: Seguridad Informática vs Seguridad de la Información

el

Se tiende a confundir la Seguridad Informática y la Seguridad de la Información, en esta oportunidad, voy a tratar de despejar esta duda.

La Seguridad Informática es el área de la informática que se enfoca en la protección de la información que se encuentra en forma digital y de la infraestructura computacional que la soporta. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática también es conocida como seguridad de tecnologías de la información.

El alcance de la Seguridad Informática incluye al hardware, software y los activos de información.

La Seguridad Informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

  • La infraestructura computacional: Es una parte fundamental para el almacenamiento, procesamiento y gestión de la información, así como para el funcionamiento mismo de la organización.
  • Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información.
  • La información: es el principal activo y reside en la infraestructura computacional y es utilizada por los usuarios.

Por otro lado la Seguridad de la Información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad y la integridad de la misma, independientemente del medio o forma en el cual esté presente, sea físico o electrónico, tomando en cuenta distintos aspectos entre ellos la comunicación, la identificación de problemas, los análisis y la recuperación de los riesgos.

La Seguridad de la Información tiene un carácter sistémico y es más amplio que la seguridad informática. La Seguridad de la Información busca establecer y mantener programas, controles y políticas, que tengan como finalidad conservar la confidencialidad, integridad y disponibilidad de la información. Es preciso aclarar, que la Seguridad de la Información es un proceso continuo que hay que gestionar, identificando y mitigando las amenazas y cerrando o corrigiendo las vulnerabilidades de los sistemas, teniendo siempre en cuenta las causas de riesgo y la probabilidad de que ocurran, así como el impacto que puede tener sobre la información.

El ambito de acción de la Seguridad de la Información está definido en la norma ISO 27001 y se conocen como dominios, los cuales voy a resumir aquí:

Dominio: Política de Seguridad

Su objetivo es garantizar a la organización el soporte y gestión necesarios para la seguridad de la información según los requisitos institucionales y normativos. Además establece la política conforme a los objetivos de las organizaciones manifestando el compromiso con la Seguridad de la Información.

Dominio: Organización de la Seguridad de la Información

Su finalidad es instaurar un marco de referencia para definir el camino para la implementación y control de la seguridad de la información dentro de la organización. La dirección de la organización es la responsable de determinar la política de seguridad, asimismo debe establecer los roles de los comités y nombrar al encargado a través de una resolución. El encargado coordinará y revisará el proceso.

Dominio: Gestión de Activos

Este dominio tiene como objetivo realizar una protección adecuada de los activos de la organización. En todo momento los activos deben estar inventariados y controlados por un responsable que también se encargará de manipularlos correctamente.

Dominio: Seguridad de los Recursos Humanos

Su objetivo es fijar las medidas necesarias para controlar la seguridad de la información, que sea manejada por los recursos humanos de la organización.

Dominio: Seguridad física y del ambiente

Con este dominio se consigue proteger a las instalaciones de la organización y a toda la información que maneja. Para ello entre otros, se establecen barreras de seguridad y controles de acceso.

Dominio: Gestión de las comunicaciones y operaciones

El objetivo es determinar los procedimiento y responsabilidades de las operaciones que realiza la organización, asegurándose que todos los procesos que estén relacionados con la información se ejecuten adecuadamente.

Dominio: Control de Acceso

Con él se asegura el acceso autorizado a los sistemas de información de la organización. Por ello, es necesario realizar diversas acciones como controles para evitar el acceso de usuarios no autorizados, controles de entrada.

Dominio: Adquisición, desarrollo y mantenimiento de los sistemas de información

Este dominio está dirigido a aquellas organizaciones que desarrollen software internamente o que tengan un contrato con otra organización que sea la encargada de desarrollarlo. Se tiene que establecer los requisitos en la etapa de implementación o desarrollo del software para que sea seguro.

Dominio: Gestión de incidentes en la seguridad de la información

Con este dominio se aplica un proceso de mejora continua en la gestión de percances de seguridad de la información.

Dominio: Gestión de la Continuidad del Negocio

El objetivo es asegurar la continuidad operativa de la organización. Se requiere aplicar controles que eviten o reduzcan los incidentes de las actividades desarrolladas por la organización que puedan generar un impacto.

Dominio: Cumplimiento

Su finalidad es asegurar que los requisitos legales de seguridad referidos al diseño, operación, uso y gestión de los sistemas de información se cumplan.

Anuncios

Un comentario Agrega el tuyo

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s