¿Qué es la seguridad de la información?
Una respuesta concisa a esta pregunta relacionada con la seguridad o ciberseguridad de cualquier núcleo empresarial resulta clave a día de hoy.
Los tiempos en los que los responsables de las empresas tan solo debían hacer una copia de seguridad de sus ficheros más importantes se han evaporado por completo, existiendo de hecho diferentes normas en nuestro ordenamiento jurídico reguladoras de esta cuestión de manera específica.
Es por ello que hoy en el blog de Ingertec analizamos todas las cuestiones que circunscriben a este nuevo escenario empresarial en materia de seguridad informática, seguridad en internet y en relación a las herramientas con las que cuenta el personal directivo de cualquier entidad para garantizar el cumplimiento de la política de seguridad de la información en su núcleo empresarial.
¿Qué es la seguridad de la información? → Definición y objetivos de la misma.
→ “Knowledge is Power” (La información es poder) | Francis Bacon 1561 – 1626.
Esta frase repetida hasta la saciedad a finales de los 90 y principios de los 2000 podría ser el punto de partida para explicar qué es la seguridad de la información. Y es que aunque quizás seamos conscientes de ello, el crecimiento superlativo en redes y seguridad informática han hecho que este precepto empiece a quedar obsoleto, al menos desde un punto de vista exclusivamente empresarial.
La información ya no es poder para la empresas (aunque sigue siendo imprescindible) sino que, sencillamente, se ha convertido en una necesidad para el correcto funcionamiento de las mismas.
Cualquier corporación, por pequeña que sea, trabaja con datos confidenciales de clientes de diversa tipología y establecer medidas de seguridad informática para garantizar el correcto uso de estos es algo que ya no resulta opcional para ninguna empresa.
Entender qué es la seguridad de la información implica por tanto analizar las especialidades y características propias de cada corporación.
El tipo de información con el que trabajan las empresas varía considerablemente de un núcleo empresarial a otro, a pesar de que, a rasgos generales, podamos señalar 3 tipos de información con las que trabajaría cualquier entidad en su día a día.
INFORMACIÓN CRÍTICA → Protocolos de seguridad informática para la información de nuestra empresa.
En el ámbito de los sistemas de seguridad informática de las empresas, nos referimos a información crítica para referirnos a cualquier tipo de información que resulta indispensable para el correcto funcionamiento de las operaciones intrínsecas a la actividad de la propia empresa.
Desde los costos de adquisición de la corporación hasta los datos de activación o ingresos de la misma.
Para entender qué es la seguridad de la información debemos tener muy claro que la optimización del uso de este tipo de información no solo reportará grandes beneficios para la seguridad de la empresa, sino que, en el medio y largo plazo, facilitará el proceso de ventas y servicio al cliente sobre el cual se focaliza la actividad de nuestra entidad.
INFORMACIÓN VALIOSA → Elemento clave para los servicios de seguridad informática de la empresa.
Establecer el adjetivo valioso a una serie de datos con los que trabaja nuestra empresa muestra de por sí el tinte subjetivo que por lógica va unido a esta cuestión. En el ámbito de seguridad de datos en informática, esto dependerá siempre de las necesidades de cada empresa en particular.
Al respecto de esto, es necesario que las empresas analicen la vertiente negativa de esta cuestión. No todos los datos valen lo mismo a la hora de ser utilizados por las empresas, motivo por el cual los datos que, a pesar de no aportar un gran valor son acumulados en nuestro sistema de información, son denominados en inglés como Garbage Data (datos basura)
INFORMACIÓN SENSIBLE → Seguridad de la información y protección de datos de cara al cliente.
A pesar de que la concepción sobre qué es la seguridad de la información engloba diferentes objetivos cuya consecución implica que las empresas deban establecer una estrategia adaptada a las necesidades de su entidad de manera obligatoria, la información sensible representa una de las mayores preocupaciones para cualquier núcleo empresarial, especialmente tras la entrada en vigor de la nueva ley reguladora específica al respecto.
Sin entrar en diversos preceptos legales, el artículo 82 del mismo texto legal establece uno de los derechos clave de los usuarios en materia de protección de datos y seguridad de la información → La seguridad de los usuarios cuando realizan comunicaciones a través de internet es un derecho (nunca una opción), y los proveedores de servicios de Internet deben informar siempre al usuario al respecto.
Objetivos de la seguridad de la información
“Confidencialidad, integridad y disponibilidad”
Si bien la concepción sobre qué es la seguridad de la información puede llegar a variar según las características de cada empresa, sí que es importante saber que hay una serie de objetivos que todas las empresas deben perseguir por igual en materia de seguridad y protección de datos.
Estos objetivos se plasman con claridad en lo establecido en la ISO 27001, en el cual se establece que, a la hora de establecer el sistema de gestión de seguridad de la información (SGSI) de nuestra empresa, debemos identificar el impacto que puede llegar a suponer una pérdida de confidencialidad, integridad y disponibilidad para cada activo con el que trabaja la empresa, con el objetivo de obtener una visión global y completa de las necesidades de nuestra empresa en materia de seguridad.
Es por ello que, a la hora de entender qué es la seguridad de la información, resulta imprescindible diferenciar entre:
INTEGRIDAD → Tecnologías de seguridad informática focalizadas en garantizar la no alteración de la misma.
La definición que otorga el diccionario de la Real Academia de la Lengua al término íntegro hacer referencia a aquello que no carece de ninguna de sus partes.
A la hora de entender qué es la seguridad de la información, la concepción de integridad hacer referencia a que la información con la que trabajen las empresas debe gestionarse a través de sistemas que garanticen su no manipulación por parte de la corporación.
Así por ejemplo, en materia de seguridad de datos personales, la firma digital puede ser un elemento que permita garantizar la integridad de los datos con los que trabaja una empresa en concreto.
Integridad y autentificación son por tanto 2 conceptos que caminan de la mano a la hora de establecer la definición sobre qué es la seguridad de la información, ya que, por ejemplo, la firma electrónica puede convertirse en la llave de acceso para identificar al generador de la información y permitir el correcto acceso a nuestro sistema.
CONFIDENCIALIDAD → Elemento clave en la política de seguridad de la información de cualquier entidad.
El objetivo de confidencialidad es un elemento intrínseco a la propia definición de seguridad de información para cualquier empresa. La cualidad de confidencialidad hace referencia a que la información con la que trabaja una empresa no debe ser nunca divulgada a personas no autorizadas para su recepción.
Es quizás en este punto donde sí tiene más sentido rescatar la idea de la “información es poder” que citábamos anteriormente. Al respecto debemos señalar que, en muchas ocasiones, la sostenibilidad de las organizaciones y su posicionamiento pueden depender de forma directa de la implantación de un sistema que garantice esta cuestión.
DISPONIBILIDAD → Acceso al sistema de gestión de seguridad de nuestra empresa.
A la hora de entender qué es la seguridad de la información, sería lógico pensar que disponibilidad y confidencialidad son 2 términos que pudieran resultar antagónicos.
Al fin y al cabo, un correcto sistema de gestión de la seguridad de la información de una empresa dificultará el acceso y disponibilidad a todos aquellos sujetos que no estén autorizados.
La concepción sobre lo que es la seguridad de la información pasa por entender la disponibilidad como el elemento que garantiza que nuestro sistema informático se mantenga en activo sin sufrir ninguna degradación en cuanto a sus posibilidades de acceso.
La información permanece intacta, pero sólo estará disponible para aquellos usuarios que estén expresamente autorizados.
Tareas del responsable del Sistema de ISO 27001
Definir las funciones de la Seguridad de la Información es el siguiente paso después de la decisión de implantar la norma ISO 27001 en la empresa. Para ello debemos designar a un responsable de la ejecución del nuevo proyecto que finalmente se convertirá en el Sistema de Gestión de Seguridad de la Información (SGSI) según ISO 27001. El responsable de la seguridad del sistema – CISO chief information security officer – además de ser el especialista de la norma 27001 en la empresa, deberá tener una profunda comprensión de los controles y los pasos necesarios para la certificación.
Es por ello, que dejamos estas pautas para que quede claro que las funciones de un responsable de la seguridad de la información adquieren una nueva dimensión. Si esto no se comprende, difícilmente daremos un paso acertado en la designación de esta responsabilidad, he aquí algunas de las tareas del CISO:
El bagaje profesional de Ingertec
Ingertec es la consultora con mayor experiencia en sistemas de seguridad de la información, asesorando desde corporaciones internacionales y empresas del IBEX a pymes de una única persona, conjugando el mayor conocimiento técnico con la adaptación a cada caso concreto. En nuestra empresa analizaremos las necesidades de tu corporación para desarrollar el sistema de seguridad más adecuado para el funcionamiento de tu entidad.
Esperamos que este post te haya servido para entender mejor lo que es la seguridad de la información. ¿Tienes más dudas?
Ponte en contacto con nosotros. A través de un trato cercano, profesional y altamente cualificado estaremos encantados de ayudarte en la resolución de todas las cuestiones que ahora mismo pudieran resultarte difusas.
