Seguridad de la información, seguridad informática y ciberseguridad.

Aunque parece un tema, fácil estos tres términos tienen fronteras y palabras que en algunos casos se entrelazan y se prestan a interpretaciones. Para este artículo, me voy a permitir dar la interpretación de acuerdo a mi experiencia como consultor.

 Para empezar, vamos a revisar la definición de seguridad de la información según la normatividad existente. 

La seguridad de la información es el conjunto de medidas preventivas y reactivas de​ las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos. 

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos. 

Desglosando esto, se puede decir que la seguridad de la información trata del cuidado de la información sin importar donde se encuentre o cómo esté almacenada. Podemos hacernos la pregunta: Puede existir seguridad de la información sin el componente informático? la respuesta es Sí. Para respaldar esa respuesta, revisemos el tema de una biblioteca física donde se encuentran planos, ensayos y libros, aquí se puede aplicar temas como políticas de acceso, seguridad física, copias de respaldo (duplicados) y otros temas que no estén relacionados con componente informáticos. 

Ahora bien, la seguridad informática trata de todo lo relacionado con componentes tecnológicos y el cuidado de la información almacenada en forma de datos. Aquí entran términos como servidores, firewalls, antivirus, routers, switches entre otros y su adecuada configuración para salvaguardar el acceso a la información. 

Revisemos en término Ciberseguridad: “Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”. 

El término ciberseguridad está asociado al acceso a los datos desde redes interconectadas por ejemplo Internet y la red de la empresa. Al igual que la seguridad informática se relaciona con la protección de la información almacenada en forma de datos. 

A manera de conclusión, podemos decir que la seguridad de la información contiene a seguridad informática y ciberseguridad, los tres términos están apuntando al cuidado de la información. 

Tenga en cuenta que este blog está dirigido a personas no técnicas, si desea obtener mayor información acerca de los términos tratados, puede consultar, para seguridad de la información, la norma ISO 27000 y sus derivados y para ciberseguridad puede revisar el marco de cibereguridad del NIST.

De donde obtener el dinero para ciberseguridad.

En la mayoría de las empresas, las áreas de tecnología y seguridad son vistas como un gasto con pocos beneficios para la organización cuando en la realidad, son estas áreas las que están apalancando el crecimiento de la empresa mediante el desarrollo de nuevos productos y servicios que harán los procesos más eficientes generando mayores utilidades. 

La inclusión del componente de tecnología dentro de los procesos del negocio trae consigo los riesgos digitales y por ende el tratamiento de los mismos mediante el componente de ciberseguridad.  El costo de este nuevo componente deberá ser cargado a cada proceso donde se involucre la tecnología, ya que se debe propender por el cuidado y seguridad de la misma. 

Vamos a ver un ejemplo, tenemos una planta de producción de productos químicos la cual  requiere de seguridad física las 24 horas del día, el costo de la seguridad física con seguridad estará cargada al proceso de producción de productos químicos, de igual  forma debería ser con los costos del cuidado de los componentes tecnológicos de los cuales se ve beneficiado el proceso de producción ya que sin ellos no podría operar la planta.

Cada componente que se adquiere en ciberseguridad deberá estar sustentado por  uno o varios procesos a los cuales se les va a servir, y cada proceso deberá aportar recursos económicos para sostener los componentes de tecnología y por ende los de ciberseguridad. 

En conclusión, los recursos para ciberseguridad deben ser aportados por los procesos donde esté involucrado el componente tecnológico, el cual requiere de mantenimiento y protección. 

Ciberseguridad: el eslabón más débil de la cadena, el humano.

En la actualidad se habla de ciberseguridad, hackers, pérdida de información, riesgos digitales, vulnerabilidades, robo de datos entre otros, todos estos términos se relacionan de una u otra forma con la protección de la información.  Constantemente las organizaciones gastan enormes sumas de dineros tendiendo a reducir los riesgos informáticos que puedan llegar a afectarlos desde el exterior, pero, qué sucede cuando nuestro principal enemigo (sin saberlo) está dentro de nuestra organización.

La mayoría de los ataques digitales se centran en el personal poco capacitado, aquel que si no es educado acerca de cómo identificar un riesgo, va a actuar de forma tal, que va a poner en riesgo la organización.

Vamos a centrarnos en un aspecto común a toda organización: contraseñas. Uno de los principales riesgos digitales es el uso contraseñas débiles, fáciles o compartidas. Esta práctica es más común de lo que se cree y son utilizadas tanto para la protección de los datos empresariales como para los datos personales, esta práctica se debe a la falta de capacitación y concientización en temas de ciberseguridad.

Una contraseña débil facilita el trabajo del delincuente informático. Un personal no concientizado asigna contraseñas débiles para facilitar su acceso a la información, sin tener en cuenta que con esta práctica está poniendo en riesgo los datos de la empresa y hasta sus propios datos personales.

Actualmente, las empresas dedican gran cantidad de recursos económicos en robustecer su infraestructura tecnológica, mediante la compra de equipos de última generación que mejoran la seguridad perimetral e interna de la red, pero surgen preguntas inquietantes como estas:

1. ¿Se está  capacitando a “todo” el personal interno y externo en temas de ciberseguridad?

2. ¿Tienen sus empleados y colaboradores las habilidades necesarias para identificar un riesgo digital?

Una buena seguridad comienza por la concientización del factor humano: alta dirección, administradores, terceros, soporte técnico y usuario final. El humano se volverá nuestra primera línea de defensa ante un ciberataque y no solo por el uso de contraseñas fuertes sino también por otros temas como identificación de correos fraudulentos, mensajes engañosos, personal no autorizado en la empresa entre otros.

Capacitación y concientización son dos herramientas fundamentales para reforzar el eslabón más débil de la cadena de ciberseguridad: “el humano”.

Análisis de vulnerabilidades, como se traduce, para que sirve y como se hace.

El análisis de vulnerabilidades es el primer paso cuando se desea abordar el tema de ciberseguridad, lo mínimo que se debe realizar para saber el nivel de exposición de mis activos ante el riesgo digital.

Vamos a poner un ejemplo para asimilar este tema, realizar un análisis de vulnerabilidades es similar a cuando una persona  va al doctor para que realice un chequeo de rutina para ver cómo se esta. Los resultados pueden le pueden decir cómo se encuentra, le pueden dar una receta y recomendaciones a seguir.

Ahora, es común que cuando una persona va al doctor, solo  pida un examen general porque no se tiene tiempo, porque no quiere gastar dinero en medicina o porque solo  quiere cumplir con el examen anual de rutina, entonces el medico procede a ponerle el estetoscopio, pesarla, tomarle la estatura y la presión arterial, con esto le da un diagnóstico. A esto es a lo que llamamos: “examen sin credenciales”, porque no se tiene conocimiento  acerca de cómo se encuentra la persona internamente ya que no se realizaron los exámenes necesarios.

En la otra mano, tenemos a las personas que realmente se interesan por su salud, y cada vez que van al médico piden que le ordenen exámenes completos para saber cómo están en temas de azúcar, triglicéridos, colesterol, peso y otros asuntos. Esto es lo que llamamos: “examen con credenciales”, los resultados de estos exámenes muestran realmente como se encuentra internamente la salud de la persona.

Los resultados de un examen con credenciales van a mostrar muchas asuntos que no se podrían observar de otra forma, y puede llevar más trabajo el tratarlos, pero tenga en cuenta no va a tener una venda en los ojos y que va a saber realmente cuáles son sus riesgos.

La definición técnica del análisis de vulnerabilidad es: definir, identificar, clasificar y priorizar las debilidades de los activos para proporcionar una evaluación de las amenazas previsibles y reaccionar de manera apropiada.

Es a grandes rasgos, la misma definición de un examen médico, solo que las enfermedades para los activos digitales se descubren con mucha más frecuencia que las nuevas enfermedades para los humanos, por ello, es recomendado realizar estos análisis con mucha más frecuencia.

Recuerde: el análisis de vulnerabilidades siempre se realiza con credenciales, lo más frecuente posible y a todos los activos de la organización porque: “una manzana podrida puede podrir las otras manzanas”.  Si quiere ir un paso adelante, revise la posibilidad de implementar un programa de gestión de vulnerabilidades y si quiere ir aún más lejos puede revisar el marco de ciberseguridad del NIST.

Nota:
Recuerde que este blog está escrito para personas sin conocimientos en el área técnica, si desea información técnica al respecto, por favor póngase en contacto usando el formulario de la columna derecha.