Ciberseguridad vs. ISO 27000: entendiendo sus diferencias y complementariedades
Tiempo de lectura aprox: 4 minutos, 8 segundos
En el mundo interconectado de hoy, la protección de la información digital se ha convertido en una prioridad para individuos, empresas y gobiernos. Este escenario ha dado lugar a dos conceptos fundamentales en el ámbito de la seguridad de la información: la ciberseguridad y las normas ISO 27000. Aunque ambos están intrínsecamente relacionados con la protección de la información, existen diferencias clave en su enfoque, aplicación y alcance.
En este ámbito la protección de la información que se genera en cualquier en formato, sea en copia dura o digital, es vital para todos, desde las personas hasta los gobiernos, pasando por las empresas, instituciones de los distintos sectores de la sociedad, salud, educación, entre otros.
Como activos informáticos de una organización se entiende a los recursos tecnológicos de la información -incluyendo la red- y la comunicación, que se emplean para la gestión de la información generada y gestionada por la entidad. Estos activos requieren de protección que garantice la continuidad de las operaciones de la organización ante cualquier evento, por lo cual proteger los sistemas, redes, software, dispositivos y datos contra ataques, daños o acceso no autorizado, es prioridad de cualquier organización.
Uno de los métodos para garantizar la protección de los activos informáticos es Reglamento de Seguridad de las Tecnologías de la Información y la Comunicación, en que se establece que un Sistema de Seguridad de las Tecnologías de la Información y la Comunicación tiene como objetivo minimizar los riesgos sobre los sistemas informáticos y garantizar la continuidad de los procesos informáticos.
Otro de los métodos utilizados en la seguridad de la información son las normas ISO/IEC 27000, que propician la gestión de los riesgos de seguridad de la información. Ambos conceptos están muy vinculados en la actualidad; en uno se garantiza la seguridad de los activos informáticos en particular, y en otro la seguridad de todo el sistema de información de la organización, que debido al proceso de transformación digital, cada día se integran más.
Analizando el concepto de ciberseguridad, se aprecia la referencia a las técnicas, procesos y prácticas diseñadas con el objetivo de proteger a los activos informáticos de una organización, de los accesos no autorizados, de los daños provocados por el hombre o por fenómenos naturales, además de los daños que pueden provocar los programas malignos o bots¹.
Las acciones y técnicas contempladas en la ciberseguridad deben también garantizar la seguridad del usuario, así como su educación y capacitación continua en los temas referidos a la ciberseguridad.
Entonces, el objetivo principal de la ciberseguridad es mantener la integridad, confidencialidad y disponibilidad de la información digital, sin importar el lugar donde se encuentre.
El desarrollo tecnológico del siglo XXI es muy dinámico y en constante evolución, por tanto la ciberseguridad de igual manera debe ir a la par de este dinamismo, para poder enfrentar y anticiparse a las más modernas técnicas de ciberataques, desde los programas malignos, pasando por la ingeniería social, incluyendo los ataques DDoS. Por lo que uno de los principales objetivos de la ciberseguridad es prevenir y responder a los incidentes provocados en el ciberespacio; ya sea por hombre o por los propios activos informáticos, léase, bots,
Por otra parte, en las normas para control interno de la República de Cuba, recogidas en la Resolución No.60/2011, se establece en su glosario de términos, que un “Sistema de Información está constituido por los métodos y procedimientos establecidos para registrar, procesar, resumir e informar sobre las operaciones de una entidad”. También dicho documento reconoce que la calidad de la información brindada por el sistema, afecta la capacidad de los directivos y ejecutivos para adoptar decisiones correctas que permitan el control de las actividades de su organización.
En el artículo 13 del Capitulo II, Sección IV de la Resolución 60/11, de la Controlaría de la República de Cuba, se establece que “La información debe protegerse y conservarse según las disposiciones legales vigentes”² .
Cualquier organización que gestione la ciberseguridad de forma aislada, está propiciando una brecha en la seguridad de su información, por lo que debe tener en cuenta la base legal y técnica que permita integrar en único sistema, varías normas que garanticen en sentido general la seguridad de la información.
La Organización Internacional de Normalización, más conocida como ISO, por sus siglas en inglés, es la encargada de crear estándares internacionales. Una de esas normas, la familia ISO/IEC 27000, proporciona un marco teórico de las mejores prácticas, para que las organizaciones establezcan, implementen y mejoren de forma continua un sistema de gestión de la información, también conocido por sus siglas SGSI,
La familia de normas ISO/IEC 27000 ha sido adoptada por Cuba, como las NC/ISO/IEC 27000, en ese conjunto de normas se incluye la NC/ISO/IEC 27001 que define los requisitos de un Sistema de Gestión de Sistema de la Información (SGSI), además de la NC/ISO/IEC 27002 que a su vez, brinda una guía para el chequeo de la seguridad de la información en general.
La implementación y gestión de un SGSI están regidas por las Normas NC/ISO/IEC 27000; mientras que la ciberseguridad, se enfoca a la protección contra ciberataques, por lo que el alcance de las normas NC/ISO/IEC 27000 es más abarcador. No solo tiene en cuenta a la seguridad informática -si nos referimos a todo los activos informáticos-, sino que incluye también en su gestión a la seguridad física, legal y organizacional.
Si la ciberseguridad es la práctica de proteger sistemas, redes y programas de ataques digitales, entonces, las normas NC/ISO/IEC 27000 proporcionan un marco para gestionar de manera integral los aspectos de la seguridad de la información, incluida, entre otras, la ciberseguridad.
Por tanto las normas NC/ISO/IEC 27000 y la Ciberseguridad se complementan entre sí, ambos conceptos no son mutuamente excluyentes. La implementación de un Sistema de Gestión de Seguridad de la Información fortalece las acciones de ciberseguridad de la organización, pues se garantiza un chequeo sistemático de los riesgos de la seguridad.
Un sistema de seguridad de los activos informáticos, con acciones concretas de ciberseguridad, ayudan a la organización que implemente un SGSI, en cumplir con las medidas de seguridad definidas en las normas NC/ISO/IEC 27002.
En resumen, mientras que la ciberseguridad se dirige principalmente a la protección de los activos informáticos, las normas NC/ISO/IEC 27000 ofrecen una guía para la implementación y gestión de un sistema de gestión de seguridad de la información en general.
En el proceso de transformación digital, la mezcla de la ciberseguridad y la de un Sistema de Gestión de Seguridad de Información que garantice de manera segura la información, se hace sino obligatorio, necesario para garantizar la seguridad de la información organizacional.
Una organización que adopte ambos enfoques estaría garantizado una gestión integral de toda su información.
[1] Un bot, abreviatura de “robot”, es un programa informático diseñado para realizar tareas de manera automática y repetitiva a través de Internet. Estos programas imitan el comportamiento humano y pueden ejecutar acciones específicas sin necesidad de intervención humana, lo que les permite llevar a cabo tareas con mayor rapidez y eficiencia que una persona.
[2] Contraloría General de la República Resolución No. 60/11
Visitas: 20