La digitalización que cada vez abordan más empresas y la dependencia de las nuevas tecnologías e internet, hacen de la seguridad de la información algo básico para cualquier empresa que quiera evitar que uno de sus activos más valiosos esté desprotegido; nos referimos a los datos e información necesarios para el desarrollo de la actividad económica de la empresa y su obtención de beneficios (que no se limitan a los datos personales, sino que abarca todo tipo de datos e información).
En este artículo explicaremos qué es la seguridad de la información, sobre qué principios se sustenta y cómo gestionarla en la empresa.
En este artículo hablamos de:
- ¿Qué es la seguridad de la información?
- Características de la seguridad de la información (conceptos básicos)
- Tipos de información
- ¿Por qué es tan importante la seguridad de la información?
- ¿Cómo gestionar la seguridad de la información en tu empresa?
- Seguridad de la información y ciberseguridad ¿son lo mismo?
¿Qué es la seguridad de la información?
Como definición de seguridad de la información podemos decir que es aquel conjunto de medidas de prevención y reacción que una organización o un sistema tecnológico emplea para resguardar y proteger la información que almacena o maneja, con la finalidad de mantener su confidencialidad, integridad y disponibilidad.
Aunque es cierto que actualmente relacionamos más el concepto de seguridad de la información con la seguridad informática y la protección de datos, lo cierto es que la primera va mucho más lejos y engloba no solo los otros dos conceptos, así como la seguridad en internet y la seguridad digital, sino que también abarca los soportes físicos, puesto que la finalidad de cualquier sistema de gestión de seguridad de la información (SGSI) es proteger y salvaguardar toda la información de una organización, con especial atención a aquella información crítica y vital para la misma, así como confidencial, independientemente del soporte en el que esta se encuentre.
Evidentemente, con el proceso de digitalización que experimentan muchas empresas en la actualidad, la seguridad de la información se centra cada vez más en el ámbito digital, donde su relevancia cada vez es mayor, debido al aumento de las ciberamenazas que cada día enfrentan las organizaciones.
Características de la seguridad de la información (conceptos básicos)
Son cuatro las características que definen los conceptos básicos de la seguridad de la información y, que como hemos dicho, cualquier SGSI debe marcarse como objetivos últimos, es decir, todas las medidas y procedimientos que se adopten en un SGSI deben tener como finalidad garantizar:
- La integridad de la información: La información debe siempre mantenerse tal y como fue creada o almacenada en el sistema, evitando que sufra alteraciones, modificaciones o manipulaciones no autorizadas. Los cambios en la información siempre deben ser autorizados de manera expresa por los responsables del sistema de la propia información. La integridad ha de asegurarse tanto cuando los datos están en reposo como en tránsito o están siendo manejados.
- La Confidencialidad de la información: Se debe garantizar que a la información solo podrán acceder aquellas personas o entidades autorizadas para ello. Así como que la información no será divulgada sin permiso de sus responsables.
- La disponibilidad de la información: La información siempre debe estar disponible para aquellas personas o entidades autorizadas para su manejo o acceso. Esto implica que los sistemas que almacenan o gestionan dicha información, deben permitir el acceso a la misma en todo momento, evitando interrupciones.
- Autenticación: Esta característica permite reconocer e identificar a quien genera la información y quién accede a ella. Si bien, la autenticación es una característica que forma parte de la integridad, lo resaltamos porque es un elemento cada vez más importante, debido al uso de equipos y herramientas informáticas y a distancia.
En definitiva, de lo que se trata es que el SGSI asegure que la información no será manipulada, difundida, robada, bloqueada o destruida en ningún momento, adoptando para ello las medidas y procedimientos preventivos y reactivos necesarios, así como las medidas técnicas y organizativas adecuadas y efectivas.
Tipos de información
Es importante señalar que para poder aplicar de manera adecuada los conceptos y principios de la seguridad de la información en cualquier organización, lo primero es determinar el valor que la información tiene para dicha organización, puesto que permitirá al responsable de seguridad y su equipo destinar los recursos necesarios para salvaguardarla y protegerla de manera adecuada.
En ese sentido, habitualmente se habla de tres tipos de información:
- Crítica: Es aquella información indispensable para la organización, puesto que de ella dependen el correcto funcionamiento de la misma y de sus operaciones. Su pérdida o daño no solo puede suponer pérdidas económicas, también daños reputacionales y pérdida de confianza de clientes y socios.
- Valiosa: Es la información que tiene consideración de un activo valioso para la empresa y aunque de ella no depende el funcionamiento de la organización, sí que lo hace el que pueda seguir con su actividad. Qué información es valiosa o no, depende de cada empresa y su sector de actividad.
- Confidencial (o sensible): Es aquella información privada de la empresa (como la relativa a clientes, empleados, propiedad industrial, etc.), a la que solo debe tener acceso el personal autorizado.
¿Por qué es tan importante la seguridad de la información?
Para una empresa, la seguridad de la información es importante por diferentes razones; por un lado, como hemos visto en el punto anterior, hay información de la que el día a día de la empresa y su funcionamiento dependen y no poder acceder a ella o perderla, puede suponer un gran revés para la compañía. En esa línea, proteger la confidencialidad de cierta información, puede resultar vital para que una empresa conserve su competitividad en el mercado.
Por otro lado, las empresas están obligadas a proteger determinada información en su poder, como son los datos personales de sus clientes, empleados, socios, proveedores, etc. La normativa de protección de datos establece que las empresas deben ser proactivas y aplicar la protección de datos por defecto y desde el diseño, eso implica aplicar medidas de seguridad como las que se contemplan en cualquier sistema de gestión de seguridad de la información.
Además, en un entorno cada más digitalizado, los riesgos y amenazas en torno a la información y los datos que manejan las empresas no hacen más que aumentar, puesto que, como dice el dicho, «la información es poder» y actualmente cierta información, especialmente aquella confidencial, puede alcanzar un gran valor para quienes la roban y venden.
Pero, además, proteger y salvaguardar la información se ha convertido no solo en una obligación legal, sino también en una reputacional; una empresa vulnerable a ciberataques, que constantemente ponga en peligro los datos de sus clientes, es una empresa que perderá la confianza de los mismos.
¿Cómo gestionar la seguridad de la información en tu empresa?
Gestionar la seguridad de la información en tu empresa, pasa por escoger aquellas salvaguardas que garanticen la integridad, confidencialidad y disponibilidad de la información en todo momento. Las salvaguardas no son más que las medidas de seguridad necesarias, que escogeremos en función de estos criterios:
- El sector de nuestro negocio, especialmente si requiere el trato de datos personales.
- Identificar, clasificar y valorar la información para determinar qué medidas de seguridad son más adecuadas. Por ejemplo, el acceso a la base de datos de los clientes deberá estar protegido por contraseña, pero además, el acceso deberá estar limitado a quienes realmente necesites esa información para desempeñar su actividad en la empresa.
- Realizar análisis de riesgos de los procesos de la empresa, así como de sus sistemas informáticos (incluyendo equipos y dispositivos) para determinar las probabilidades de materialización de las amenazas y el nivel de impacto que tendrían en la información y en la operatividad de la empresa.
- En base a los informes de mapas de riesgos, elegir las medidas técnicas y organizativas más adecuadas en función del valor y el tipo de información que se debe proteger.
Pero las salvaguardas son solo una parte de lo que debe ser una estrategia de seguridad que sirva para establecer políticas y controles de seguridad, así como el empleo de tecnologías y procedimientos para detectar aquellas amenazas que puedan poner en riesgo tanto la información como los sistemas que la almacena y administran.
Así mismo, estas estrategias deben contemplar también protocolos de actuación ante posibles incidentes, para poder reaccionar a tiempo y responder de manera adecuada, evitando así la pérdida de información (o, cuanto menos, minimizarla) o del propio sistema.
Cualquier estrategia de seguridad de la información deberá ser proactiva (se implementan políticas y procedimientos de seguridad de la información y se capacita al personal para su cumplimiento y el uso de las tecnologías de seguridad), predictiva (debe permitir adelantarse a los incidentes y prevenirlos mediante el empleo de sistemas de monitoreo y análisis de vulnerabilidades) y reactiva (al detectar una amenaza o un incidente, debe contar con los mecanismos que permitan responder de forma inmediata, para volver cuanto antes a la normalidad y minimizar el impacto negativo).
Cabe señalar aquí las normas ISO 27001 y la ISO 27002 de seguridad de la información, que, además de ser normas certificables, ofrecen a las empresas modelos de sistemas de gestión de la seguridad de la información que pueden aplicar a su organización y procesos.
Seguridad de la información y ciberseguridad ¿son lo mismo?
Aunque íntimamente relacionados, la seguridad de la información y la ciberseguridad o seguridad informática no son lo mismo.
Como hemos visto, la seguridad de la información es un conjunto de medidas preventivas y reactivas con el fin de salvaguardar toda la información de una empresa, independientemente de dónde se halle dicha información.
Por su parte, la ciberseguridad son aquellas medidas y estrategias de seguridad centradas en los elementos digitales o de conexión a la red, en las vulnerabilidades de software y hardware. En ese sentido, la ciberseguridad es una parte más de la estrategia de seguridad de la información que adopta la empresa.
En resumen, la seguridad de la información tiene una relevancia fundamental para cualquier empresa u organización, especialmente de cara al ámbito digital, pero que va más allá de este. Es tanto una necesidad operativa para las empresas, como una obligación legal en lo que toca a la protección de datos. La información es uno de los activos más valiosos para una empresa y protegerla de manera adecuada es clave para la supervivencia de la empresa a medio y largo plazo.