En la actualidad, un término ampliamente utilizado es “ciberseguridad”, que puede asociarse con otras ideas como ciberespacio, ciberamenazas, cibercriminales u otros conceptos compuestos. Aunque se tiene una idea general sobre lo que representa, en ocasiones puede utilizarse como sinónimo de seguridad de la información, seguridad informática o seguridad en cómputo -pero esta idea no es del todo correcta.
La disyuntiva se presenta cuando es necesario aplicar de manera adecuada los conceptos, de acuerdo con las ideas que se pretenden expresar. Si bien existen distintas definiciones para la ciberseguridad, es importante conocer cuándo se utiliza de forma correcta de acuerdo con el contexto, e identificar sus diferencias con los otros términos -por ejemplo, el de seguridad de la información.
En esta publicación vamos a definir los distintos conceptos para conocer sus diferencias con otros términos empleados en el ambiente de la seguridad.
En la pasada edición de bSecure Conference, profesionales de seguridad de ISACA (Information Systems Audit and Control Association) capítulo Monterrey, comenzaron su participación a partir de definir qué es la ciberseguridad. De acuerdo con la asociación, puede entenderse como:
“Protección de activos de información, a través del tratamiento de amenazas que ponen en riesgo la información que es procesada, almacenada y transportada por los sistemas de información que se encuentran interconectados”.
La norma ISO 27001 define activo de información como los conocimientos o datos que tienen valor para una organización, mientras que los sistemas de información comprenden a las aplicaciones, servicios, activos de tecnologías de información u otros componentes que permiten el manejo de la misma.
Por lo tanto, la ciberseguridad tiene como foco la protección de la información digital que “vive” en los sistemas interconectados. En consecuencia, está comprendida dentro de la seguridad de la información.
Para conocer la diferencia principal con la seguridad de la información, revisemos otros conceptos interesantes que nos permitirán tener el contexto general. De acuerdo con la Real Academia Española (RAE), la seguridad se define como “libre o exento de todo peligro, daño o riesgo”. Sin embargo, se trata de una condición ideal, ya que en la realidad no es posible tener la certeza de que se pueden evitar todos los peligros
El propósito de la seguridad en todos sus ámbitos de aplicación es reducir riesgos hasta un nivel que sea aceptable para los interesados en mitigar amenazas latentes. En un sentido amplio, por seguridad también se entienden todas aquellas actividades encaminadas a proteger de algún de tipo de peligro.
Sin embargo, la información puede encontrarse de diferentes maneras, por ejemplo en formato digital (a través de archivos en medios electrónicos u ópticos), en forma física (ya sea escrita o impresa en papel), así como de manera no representada -como pueden ser las ideas o el conocimiento de las personas. En este sentido, los activos de información pueden encontrarse en distintas formas. Además, la información puede ser almacenada, procesada o transmitida de diferentes maneras: en formato electrónico, de manera verbal o a través de mensajes escritos o impresos, por lo que también es posible encontrarla en diferentes estados.
Por lo tanto, sin importar su forma o estado, la información requiere de medidas de protección adecuadas de acuerdo con su importancia y criticidad, y éste es precisamente el ámbito de la seguridad de la información.
Luego de revisar los conceptos, es posible identificar las principales diferencias y por lo tanto conocer cuándo aplicar un concepto u otro. En primer lugar, resaltamos que la seguridad de la información tiene un alcance mayor que la ciberseguridad, puesto que la primera busca proteger la información de riesgos que puedan afectarla, en sus diferentes formas y estados.
Por el contrario, la ciberseguridad se enfoca principalmente en la información en formato digital y los sistemas interconectados que la procesan, almacenan o transmiten, por lo que tiene un mayor acercamiento con la seguridad informática.
Además, la seguridad de la información se sustenta de metodologías, normas, técnicas, herramientas, estructuras organizacionales, tecnología y otros elementos, que soportan la idea de protección en las distintas facetas de la información; también involucra la aplicación y gestión de medidas de seguridad apropiadas, a través de un enfoque holístico.
Por lo tanto, sin importar los límites de cada concepto, el objetivo principal es proteger la información, independientemente de que ésta pertenezca a una organización o si se trata de información personal, ya que nadie está exento de padecer algún riesgo de seguridad.
Fuente: iso27001.es