¿Seguridad informática o seguridad de la información?

No es lo mismo seguridad informática que seguridad de la información

Está más que demostrado que la información es el mejor activo de una empresa u organización y que ésta se enfrenta a una variada y cada vez más numerosa gama de amenazas. Como resulta obvio, a la misma conclusión llegaremos si se trata de nuestra información personal. Por lo tanto, hay que hacer un primer análisis de los riesgos a los que se enfrenta dicha información, y debemos protegerla en sus cuatro estados posibles:

1. Creación
2. Transmisión
3. Almacenamiento
4. Destrucción

Seguridad Informática

En primer lugar nos referimos a seguridad informática, estamos centrando nuestra atención sólo en los aspectos de seguridad que inciden o tienen que ver directamente con la informática; es decir, en los medios informáticos en los que se genera, gestiona, almacena o destruye esta información, pero sin profundizar en aspectos sistémicos de la gestión de esa seguridad. Ateniéndonos entonces en primera instancia a las temáticas propias de la seguridad informática, entendida ésta según lo indicado en el párrafo anterior, que por lo demás es como se conocía a esta especialidad en sus inicios desde el nacimiento de la computación, podríamos representarla en 7 grandes apartados, cada uno de ellos con entidad suficiente como para convertirse en una especialidad tecnológica:

1. Protección y seguridad de los datos
2. Criptografía
3. Seguridad y fortificación de redes
4. Seguridad en aplicaciones informáticas,programas y bases de datos
5. Gestión de seguridad en equipos y sistemas informáticos
6. Informática forense
7. Ciberdelito, ciberseguridad

Así, podemos decir que la seguridad informática es la disciplina que se encarga de las implementaciones técnicas de la protección de la información con elementos físicos de hardware y software, básicamente en el entorno de la máquina, de la tecnología, de los equipos, de las infraestructuras del sistema y de los datos. Tales serían por ejemplo, técnicas de cifrado y firma digital de la información, gestión de identidades, tecnologías antimalware, uso de cortafuegos, detección de intrusos, implantación de seguridad perimetral, control y seguimiento de incidencias de seguridad en los equipos y redes, la seguridad en el web, etc

Seguridad de la Información

Cuando además de lo anterior tenemos en cuenta aquellos aspectos sistémicos de la gestión de la seguridad, como podrían ser por ejemplo en una empresa u organización las políticas y planes de seguridad con su respectivo análisis y gestión del riesgo, la continuidad del negocio, la adecuación al entorno legal y a las normativas internacionales, entonces es más propio hablar de seguridad de la información. Esto es debido a que en la actualidad existen otras temáticas muy importantes que están relacionadas con la seguridad de la información y la protección de los datos pero que, a diferencia de los apartados vistos anteriormente, su entorno no está físicamente tan cerca de los equipos informáticos y de las redes, sino de la gestión, de la gerencia y del buen gobierno de la empresa. Entre estos otros temas más propios de un entorno empresarial, se pueden contemplar también 7 grandes apartados, a saber:

1. Gestión de la seguridad de la información
2. Asesoría y auditoría de la seguridad
3. Análisis y gestión de riesgos
4. Continuidad de negocio
5. Buen gobierno
6. Comercio electrónico
7. Legislación relacionada con seguridad

Al referirnos ahora a seguridad de la información, está claro que el enfoque es el de una disciplina orientada a la gestión de esa información, como un bien o activo que requiere protección porque manifiesta vulnerabilidades, contemplando por tanto la evaluación de las amenazas que pueden explotar dichas vulnerabilidades y provocar un daño, el análisis y la posterior gestión de los riesgos, el uso de buenas prácticas, la adecuación a las normativas y legislaciones nacionales e internacionales, los controles y auditorías de esa seguridad, así como la concienciación entre los miembros de la organización y la generación de confianza, entendiendo este todo como un negocio y la importancia de la continuidad del mismo

Conclusiones

Con estas ideas generales sobre seguridad informática y seguridad de la información presentadas en los apartados anteriores, resulta claro que los objetivos que ambas persiguen se complementan, en tanto protegen el activo información en el más amplio sentido de la palabra, desde dos enfoques distintos pero complementarios. La dirección de seguridad informática estará centrada en el aspecto tecnológico y la dirección de seguridad de la información en el aspecto estratégico.

Por último, es bueno recordar que la seguridad no es un producto sino un proceso, en el que intervienen todos los aspectos de la tecnología y también las personas, siendo estas últimas por lo general el eslabón más débil de toda la cadena. Aunque pongamos barreras a nuestros sistemas, fortifiquemos nuestras redes, cifremos y firmemos cuando corresponda nuestra información, tengamos adecuados sistemas de copias de seguridad, etc., si no entendemos que la seguridad es un proceso, que debe ser constantemente revisado y actualizado, no estaremos aplicando las correctas políticas de seguridad para proteger nuestro sistema y su información.