banner

¿Seguridad Informática o Seguridad de la Información?

A primera vista "Seguridad Informática" y "Seguridad de la Información" pueden parecer exactamente lo mismo, sobre todo si se tiene en cuenta que el desarrollo y la evolución de la tecnología tiende hacia el modelo de "digitalizar" y "manejar" cualquier tipo de información mediante un sistema informático. No obstante, aunque están destinados a vivir en armonía y trabajar conjuntamente, cada uno de las áreas de Seguridad tiene objetivos y actividades diferentes.

La Seguridad Informática (IT Security) se describe como la distinción táctica y operacional de la Seguridad, mientras la Seguridad de la Información (Information Security) sería la línea estratégica de la Seguridad.

Teniendo en cuenta la definición de la Seguridad Informática, esta disciplina se encargaría de las implementaciones técnicas de la protección de la información, el despliegue de las tecnologías antivirus, firewalls, detección de intrusos, detección de anomalías, correlación de eventos, atención de incidentes, entre otros elementos, que—articulados con prácticas de gobierno de tecnología de información—establecen la forma de actuar y asegurar las situaciones de fallas parciales o totales, cuando la información es el activo que se encuentra en riesgo. [Jeimy J. Cano, Ph.D., CFE.]

IT Security sería la disciplina que se encargaría de llevar a cabo las soluciones técnicas de protección de la información (los activos).


En el otro lado, la Seguridad de la Información es la disciplina que nos habla de los riesgos, de las amenazas, de los análisis de escenarios, de las buenas prácticas y esquemas normativos, que nos exigen niveles de aseguramiento de procesos y tecnologías para elevar el nivel de confianza en la creación, uso, almacenamiento, transmisión, recuperación y disposición final de la información.[Jeimy J. Cano, Ph.D., CFE.]

Information Security sería la disciplina que encargaría de proporcionar evaluar el riesgos y las amenazas, trazar el plan de acción y adecuación para minimizar los riesgos, bajo normativa o buenas practicas con el objetivo de asegurar la confidencialidad, integridad y disponibilidad en el manejo de la información (activos).

IT Security vs Information Security

La Seguridad de la Información es la disciplina que se encarga de garantizar la confidencialidad, integridad y disponibilidad de la información. Para alcanzar el objetivo se apoya en la Seguridad Informática (que estaría gobernada por las directrices de la Seguridad de la Información), es decir, a pesar de ser disciplinas diferentes, la una no puede "ir" sin la otra. De modo que la Seguridad de la Información será la encargada de "regular" y establecer las pautas a seguir para la protección de la información. 

Es habitual que la Seguridad de la Información se apoye en una Política de Seguridad que se desarrolla mediante la elaboración de un Plan Director de Seguridad. La Dirección (de la Organización / Empresa) será la encargada de marcar las líneas de actuación (estrategia) en materia de Seguridad, y mediante el Plan Director determinar las medidas tanto técnicas como procedimentales (Seguridad como Proceso) que garantice los objetivos marcados por la Política de Seguridad. 

Las medidas técnicas (tácticas y operacionales) serán llevadas a cabo por el equipo de Seguridad Informática, --- Administradores de Sistemas y Seguridad  roles de Seguridad hablaremos en otra ocasión ---,  que implementaran las medidas necesarias para el cumplimiento de la Política de Seguridad y el Análisis de Riesgos en el que se debería basar la Política.

Resumiendo:  

Podríamos decir que la Seguridad Informática (IT Security) es la parte operativa de la Seguridad, es decir,  las medidas técnicas que aseguran la Seguridad de la Información.

Referencias

[ISACA] La Gerencia de la Seguridad de la Información: Evolución y Retos Emergentes [Jeimy J. Cano, Ph.D., CFE]

1 comentario :