| 25 años generando CONFIANZA
Norma ISO 27001
A lo largo de este artículo veremos la diferencia que existe entre seguridad informática y seguridad de la información. La norma ISO 27001 nos posibilita conocer la seguridad de la información gracias a la implantación de un Sistema de Gestión de Seguridad de la Información.
Seguridad informática
La totalidad de los especialistas en seguridad basan sus conocimientos y experticias sobre el aspecto técnico tradicional de la seguridad, esto es en las áreas IT, aunque bastantes de ellos consideran las cuestiones propias como el nuevo aspecto en las comunicaciones y que hace que actualmente se hable de TIC.
Además de tener un enfoque técnico prácticamente, los especialistas únicamente se manejan con las vulnerabilidades y en parte con amenazas en forma de ataques, todo lo dicho no se considera suficiente para hablar de los riesgos correspondientes.
Con el fin de establecer una evaluación de riesgos, se necesita realizar una evaluación a los activos, además de identificar cualquier amenaza que pueda aprovechar y explotar las vulnerabilidades de estos activos. Expuesto lo anterior, sí podemos realizar la determinación de los riesgos teniendo como referencia:
- Activos: con un rango de 5 a 8.
- Vulnerabilidades: rango de 3.
- Amenazas: rango de 3 a 5.
En el caso de que más tarde se pretenda determinar qué hacer con los distintos riesgos, en el mayor número de casos se persigue mitigar hasta conseguir un nivel aceptable, por lo que habrá que implantar las medidas de seguridad que se consideren oportunas para tal efecto.
Si encontramos riesgos con características técnicas, el enfoque más eficaz es llevar a cabo un análisis gracias a los estándares técnicos o bien gracias a las normas internacionales, como la ISO 27002, en la que se realizan todos los controles necesarios y se determina el nivel en que se tiene que implantar para minimizar los riesgos que se encuentren a niveles aceptables.
Hasta llegado este punto hablamos de seguridad informática. Este término es una traducción del inglés, information security, el sentido que recoge dicha problemática se aproxima más a términos como pueden ser “computer security” o network security”.
Seguridad de la información
Estamos ante un proceso en que se está produciendo modificaciones, por lo que el término Seguridad de la Información está tomando una traducción más acertada sobre information security. Aunque aún hay muchos especialistas que siguen nombrándolo según el enfoque técnico que hemos comentado anteriormente.
La Seguridad de la Información es muy extensa, por lo que no es sólo una cuestión técnica sino que supone una responsabilidad de la alta dirección de la empresa, así como de sus directivos.
Tenemos que tomar en cuenta que el ambiente TIC está orientado al servicio y a la actuación en función de los procesos de negocio. Se diferencia de los procesos centrales de la misma empresa que constituyen el núcleo de los negocios de la empresa.
En el caso de no involucrarse las unidades activas y los líderes de negocio, como podrían ser, ejecutivos, directivos, etc. de las entidades, no podrá existir un plan de Seguridad de la Información, a partir de todos los riesgos determinados. Todo ello se lleva a cabo en el seno del sistema de dirección y control propio del gobierno corporativo.
Se tiene que considerar los sujetos, los procesos y las funciones de negocio, además de la protección de todos los activos/recursos de la entidad impulsora, propietaria y beneficiaria de la Seguridad de la Información, dentro de un marco de responsabilidades compartidas.
Se tienen que considerar la totalidad de los riesgos técnicos de TIC, además de que la seguridad se desarrolle por toda la empresa, es decir, son riesgos organizacionales, operacionales y físicos.
Los riesgos operacionales son hoy en día más cruciales en lo referente a Seguridad de la Información. Las vulnerabilidades de este tipo de riesgo se expanden durante una amplia gama de grises, en conexión con el comportamiento humano y los juicios subjetivos de las personas, la resistencia al cambio, la cultura empresarial, la forma de comunicarse, etc.
Establecer las distintas vulnerabilidades de una empresa es un proceso muy distinto a las mediciones o lecturas tomadas con los ordenadores, servidores, rúters, etc. como normalmente no se disponen de datos históricos suficientes, realizar un análisis exacto se hace muy complicado. El análisis es completado con información que se puede recabar y que corresponda con la información subjetiva surgida de las opiniones distintas. Dichas opiniones pueden ser identificadas y analizadas a través del método de investigación prospectiva, seguido muy de cerca por entrevistas personales que establecen el valor de estas opiniones.
La evaluación de los activos no se encuentra al alcance de la mayoría de los técnicos. Los propietarios de los procesos de negocio son quienes pueden determinar un valor correcto de los mismos y de allí derivar a los valores de los activos que se utilizan en las distintas funciones que componen cada caso.
Seguridad de la Información y Seguridad Informática
El desarrollo que se ha experimentado en cuanto a seguridad informática al de seguridad de la información, implica incrementar el campo de visión del marco de riesgos de negocio respectos a la perspectiva tradicional de seguridad técnica, fundamentada en las vulnerabilidades.
En el entorno de la seguridad de la información los riesgos de negocio incluyen, no sólo las vulnerabilidades y las amenazas, sino que incluyen también el conjunto de factores que determinan los riesgos:
- Activos
- Vulnerabilidades
- Amenazas
Los riesgos de negocio que incluyen los riesgos organizacionales, operacionales, físicos y de sistemas TIC.
Podemos conseguir un enfoque completo de seguridad de la información en la parte en la cual se considera los recursos necesarios para minimizar los riesgos dentro de un plan de seguridad, no se puede considerar un gasto sino una inversión para la empresa. Solicita de un análisis y determinar de una manera cuantificable el retorno de las inversiones en seguridad.
Sistema de Gestión de Seguridad de la Información
La implantación de un Sistema de Gestión de Seguridad de la Información en las empresas supone un paso más para garantizar a los usuarios que la información manipulada por dicha empresa se realiza bajo la máxima seguridad.
Para saber más sobre los Sistemas de Riesgos y Seguridad puedes visitar el siguiente enlace: https://www.isotools.us/normas/riesgos-y-seguridad/
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...