Comunidad

07 de octubre de 2016 | por: Equipo Comunicación | 0 comentarios

ISO 27000, Ciberseguridad vs Seguridad de la información

Ciberseguridad, una palabra casi nueva, Word te propone agregarla al diccionario, pero no es concepto nuevo, es una nueva forma de referirse a la , o a una parte de la misma.

Cuando oímos ciberseguridad a todos nos vienen a la cabeza los hacker malos (los hay buenos, seguramente más que malos) robando información, y  los medios de protección para evitarlo, como pueden ser análisis de vulnerabilidades, firewall, sistemas de análisis de log, etc.  En definitiva medidas técnicas para que no puedan atacar nuestros frontales, nuestras páginas web, y sus conexiones  y a partir de ahí, nuestras bases de datos.

La seguridad de la información es mucho más que eso. Por ejemplo, podemos tener una aplicación crítica con las comunicaciones cifradas , lo que minimiza el riesgo de que  intercepten las  claves de un usuario, pero si no los formamos y les explicamos que es aconsejable usar diferentes contraseñas en las diferentes aplicaciones, cualquier atacante interceptando las comunicaciones de otra aplicación sin criticad (sin comunicaciones cifradas) podría tener la contraseña, al ser igual, de todas nuestras aplicaciones y acceder a las mismas  como un usuario legítimo,  por muy avanzada que sea nuestra ciberseguridad.

ISO 2700 para la seguridad de la información

Si solo tenemos en cuenta la ciberseguridad no mitigaremos todos los riesgos.

La seguridad de la información es un proceso complejo, que abarca a todas la áreas de las compañías, y cada día más crítico (especialmente para algunos sectores, como la banca o las telco)  y  debe ser apoyado en un sistema de la seguridad de la información, (SGSI), basándose en las buenas prácticas y la metodología de la ISO.27001 e ISO.27002

La familia de las ISO27000  guiara a cualquier tipo de organización,  independientemente de su tamaño, en la difícil tarea de garantizar nuestra información por medio de un sistema de mejora continua.

La clave es que abarca todos los puntos relativos, como formación, relación con proveedores (podemos tener nuestra información protegida pero si la compartimos con un tercero y este no tiene medidas de protección es como si nos las tuviéramos nosotros),  la segregación de funciones (aunque el proceso de una factura tenga un correcto flujo de aprobación si la misma persona  que la emite,  puede cambiar la cuenta del proveedor al que paga, podría ponerse una suya y no se detectaría) , la monitorización, el control de acceso y así hasta 14 dominios de la ISO27002. Esta ISO nos proporcionará los diferentes tipos de controles, ya sean técnicos, de organización o de procedimiento, para  minimizar los posibles riesgos.

La ciberseguridad es importante, y cada día lo será más, pero es una parte de un todo. Si queremos ser los mejores de una parte necesitamos conocer el todo, de ahí la importancia para cualquier profesional de conocer en profundidad la familia de la ISO27000.

Autor: Arturo Belda, profesor Máster en Gestión Integrada de la Calidad, la Seguridad y el Medio Ambiente

Máster en Gestión Integrada de la Calidad, la Seguridad y el Medio Ambiente

Comentarios

Deja tu comentario

You must be logged in to post a comment. So log in!

EADIC Blog