Pasar al contenido principal

Seguridad de la información

La seguridad de la información es el conjunto de medidas preventivas, reactivas y correctoras de las organizaciones y de los sistemas tecnológicos que permiten proteger la información preservando su confidencialidad, disponibilidad e integridad.

El objetivo de la seguridad de la información es resguardar y proteger los activos de información: los equipos (hardware y software), los usuarios y la información. Las políticas de uso y las medidas de protección de la información aportan beneficios a las organizaciones, incrementando la confianza de los clientes, impulsando las ventas y ofreciendo una imagen de empresa segura, un parámetro decisivo en la reputación corporativa de las organizaciones actuales.

La información es el principal activo que proteger. Por información se entiende el conjunto de datos organizados en poder de una organización y que tiene valor para ella, independientemente de la forma en que se guarden o transmitan, de su origen o de su fecha de creación. No toda la información y los datos tienen el mismo valor para todas las empresas; cada organización debe identificar cuáles son más importantes para el buen funcionamiento de su negocio. Conocer, por ejemplo, qué información es crítica servirá para definir las medidas de seguridad para protegerla. Las empresas trabajan con tres tipos de información:

  • Información crítica: es indispensable para el correcto funcionamiento de la empresa y sus operaciones. Proporciona beneficios a la organización porque facilita la gestión, las ventas y el servicio al cliente.
  • Información valiosa: es necesaria para que la empresa mantenga su funcionamiento. La información valiosa puede ser distinta para cada empresa, dependiendo de su actividad y sector. Identificarla es clave para definir la estrategia de seguridad informática que la proteja.
  • Información sensible: información privada de clientes, empleados, proveedores y comunidad vinculada a una empresa. Solo deben acceder a ella las personas autorizadas. Los sistemas de seguridad de la información deben garantizar la protección de datos de los clientes (usuarios).

Garantizar la seguridad total es imposible, incluso contando con un presupuesto ilimitado, como tampoco existe la seguridad total en ningún aspecto de la vida. Lo que se busca es que los riesgos relativos a la seguridad de la información sean conocidos, asumidos, gestionados y minimizados. Esto suele hacerse mediante barreras y procedimientos que limitan el acceso a la información solo a personas autorizadas. La estrategia de seguridad de la información debe identificar los riesgos y amenazas, estudiarlos y establecer medidas de prevención y técnicas para mitigarlos.

La seguridad de la información se articula en torno a tres pilares fundamentales:

  • Laconfidencialidad garantiza que la información sea accesible sólo para las personas o entidades autorizadas, y que no se divulgue sin autorización.
  • La disponibilidad permite que los usuarios autorizados puedan acceder, conocer y manejar la información en todo momento y sin interrupciones.
  • La integridad avala que la información se muestre tal como fue creada, correcta y exacta, sin alteraciones, modificaciones ni errores, y esté protegida frente a vulnerabilidades externas o fallos humanos.

La norma ISO 27001 proporciona el modelo de referencia para la implantación de un Sistema de Gestión de la Información (SGSI) y así obtener el certificado ISO 27001.

La privacidad es un pilar complementario de la seguridad de la información que cada vez cobra más importancia (no en vano la suplantación de identidad es el tipo de fraude que más se comete en España). Con la entrada en vigor del Reglamento RGPD, el 25 de mayo de 2018, la privacidad de la información se convierte en un aspecto clave y se refuerza el tratamiento y la protección de los datos personales. Esta normativa pretende que los usuarios tengan un control absoluto sobre sus datos, para brindarles la máxima protección ante el robo o la suplantación de identidad, origen de numerosos fraudes y ciberataques.

Aunque hoy en día los sistemas de las empresas se basan en las nuevas tecnologías, no hay que confundir seguridad de la información con seguridad informática ni con ciberseguridad; son conceptos relacionados, pero no significan lo mismo. La seguridad de la información es un todo y la ciberseguridad es una parte de ello. La seguridad de la información comprende un conjunto de medidas y procesos para proteger la información tanto digital como física, mientras que la ciberseguridad se centra en proteger la información dentro de los entornos digitales de la empresa. La seguridad de la información analiza riesgos y amenazas basándose en estrategias defensivas para proteger los sistemas. En cambio, la ciberseguridad contempla medidas de protección basadas en el ataque contra dichas amenazas (brechas de seguridad).

También te interesa: Seguridad informática, Ciberseguridad