18 mar. 2019

Diferencias entre la Ciberseguridad y la Seguridad de la Información

Publicado originalmente por Amit Singh Bhadauriya en CISOPlatform

Comprender las diferencias entre términos como "Ciberseguridad" y "Seguridad de la Información" es importante porque muchos organismos reguladores han pedido a los bancos y otras entidades financieras que tengan políticas de ciberseguridad y de seguridad por separado.

Estas dos palabras "Ciberseguridad" y "Seguridad de la Información" se usan generalmente como sinónimos en la terminología de seguridad, y crean una gran confusión entre los profesionales de la seguridad. Estaba discutiendo con algunos profesionales de InfoSec sobre este tema y descubrí que algunos de ellos piensan que la ciberseguridad es un subconjunto de Seguridad de la Información, mientras que otros piensan lo contrario. Entonces, para aclarar esta confusión, decidí investigarlo.

Vamos a empezar con la Seguridad de los Datos: se trata de proteger los datos. Ahora, otra pregunta que surge aquí es la diferencia entre Datos e Información. No todos los datos son información. Los Datos pueden ser llamado Información cuando se interpretan en un contexto y se les da un significado. Por ejemplo, "14041989" es un dato; si sabemos que esta es la fecha de nacimiento de una persona, entonces es información. Entonces, Información son Datos que tienen algún significado en un contexto determinado. La Seguridad de la Información se trata de proteger la Información, que generalmente se centra en la Confidencialidad, Integridad y Disponibilidad (CID) de la Información.

La Ciberseguridad se trata de asegurar cosas que son vulnerables a través de las Tecnologías de la Información y las Comunicaciones (TIC). También considera que donde se almacenan los datos y se utilizan tecnologías para asegurarlos. Parte de la Cibeseguridad trata la protección de las TIC, es decir, hardware y software; incluye información, tanto física como digital, y automóviles, semáforos, aparatos electrónicos, etc.

El siguiente diagrama de Venn puede ser útil para comprender las diferencias.
Referencia: Center for Cyber and Information Security - https://ccis.no/cyber-security-versus-information-security/
El lado izquierdo representa la Seguridad de la Información, que consiste en información tanto digital como analógica. El lado derecho representa la Ciberseguridad, cosas que son vulnerables a través de las TIC. Tenga en cuenta que la seguridad de TI es la protección de las Tecnologías de la Información. En la práctica, no hay diferencia entre la seguridad de las TIC y la seguridad de TI.

Como se puede ver en la siguiente imagen, ambos conjuntos se superponen. El siguiente diagrama ilustra la relación entre la seguridad de las TIC, la Ciberseguridad y la Seguridad de la Información.
Referencia: Center for Cyber and Information Security - https://ccis.no/cyber-security-versus-information-security/
Tenga en cuenta que la Ciberseguridad (conjunto derecho) incluye todo a los que se puede acceder a través del ciberespacio. Entonces, se podría argumentar que todo en este mundo es vulnerable a través de las TIC.

Según la definición del NISTIR 7298 Revision 2 (Instituto Nacional de Estándares y Tecnología).
  • Ciberseguridad: capacidad de proteger o defender el uso del ciberespacio de los ataques cibernéticos.
  • Seguridad de la Información (1): protección de la información y los sistemas de información frente al acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para brindar Confidencialidad, Integridad y Disponibilidad.
  • Seguridad de la Información (2): Proteger los sistemas de información e información del acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados para proporcionar:
    • Integridad, protegerse contra la modificación o destrucción inapropiada de la información, e incluye garantizar la no repudio y la autenticidad de la información.
    • Confidencialidad, preservar las restricciones autorizadas de acceso y divulgación, incluidos los medios para proteger la privacidad personal y la información de propiedad exclusiva; y
    • Disponibilidad, garantizar el acceso y uso oportuno y confiable de la información.

Resumiendo

  • Seguridad Informática: todas aquellas medidas tomadas para proteger la integridad y la privacidad de la información almacenada en un sistema informático y signifique un riesgo si llega a manos de otras personas. Se puede referir a software, base de datos y archivos entre otros.
  • Seguridad de la Información: trata con la información, independientemente de su formato. Abarca documentos impresos, digitales y propiedad intelectual en la mente de las personas y las comunicaciones verbales o visuales.
  • Ciberseguridad: se refiere a la protección de los activos digitales, todo desde las redes hasta el hardware y la información que es procesada, almacenada o transportada por sistemas de información interconectados. Tiene como foco la protección de la información digital.
Según esta definición, la Ciberseguridad tiene que ver con la seguridad de cualquier cosa en el ámbito cibernético, mientras que la Seguridad de la Información tiene que ver con la seguridad de la información, independientemente del ámbito. Por lo tanto, a partir de estas definiciones, se puede pensar que la Seguridad de la Información es un super conjunto de Ciberseguridad.

Fuente: Amit Singh Bhadauriya en CISOPlatform

1 comentario:

  1. No estoy tan seguro del alcance que se le da a seguridad de la información dado que se indica que su enfoque es la información mas no el activo donde se resguarda, pero todos los que trabajamos en seguridad, sabemos que se debe realizar hardening a dichos activos, se realizan pruebas de vulnerabilidades y de intrusión, red team y blue team, todo para establecer desde si desde la capa de aplicación, BD o S.O se puede llegar a tener acceso a la información que tanto nos interesa.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!