La empresa Hard Link Security, alojada en el PCTCLM, nos habla de las diferencias entre Seguridad de la Información y Ciberseguridad en este artículo, ante el calado en la sociedad que está teniendo el concepto ciberseguridad.
La cibersegiridad se enfoca en la protección de la información en formato digital; mientras la seguridad de la Información es un conjunto de medidas preventivas y reactivas (incluidas las de sistemas tecnológicos) para resguardar y proteger toda la información, manteniendo su confidencialidad, disponibilidad e integridad.
Confusión
El hecho es que en el ámbito social y empresarial se están confundiendo los términos Ciberseguridad y Seguridad de la Información, no teniendo muy clara la diferencia entre ellos. Es más, incluso en el ámbito tecnológico, existe la creencia de que la Ciberseguridad es lo que se necesita para estar a salvo de los #ciberdelincuentes. Pero, aplicar sistemas de ciberseguridad exclusivamente en una empresa es un proceso incompleto.
Según INCIBE (Instituto Nacional de Ciberseguridad), el 95 % de los ciberataques se producen por un fallo humano. Este dato confirma que el eslabón débil de la cadena de seguridad de la información es el humano, no los sistemas ni los dispositivos tecnológicos. Ahora bien, un buen Sistema de Gestión de Seguridad de la Información está compuesto por un inventario de activos y sus riegos ; Políticas de Seguridad de la Información ; definir procedimientos de trabajo ; formación y concienciación ; seguridad física del personal y del entorno ; cumplimento legal (LOPD, LPI, …) ; seguridad digital de la información (Ciberseguridad) ; seguridad en el desarrollo del Software, etc.
Como podemos ver, la parte «tecnológica» de Seguridad de la información representa una parte del Sistema de Gestión de Seguridad de la Información, pero no es la única.
En resumen, un SGSI es: 75 % de Políticas y Procedimientos (más ligado al factor humano) ; 20 % de Ciberseguridad (ligado al factor tecnológico) ; y 5 % de riesgo.
En la imagen se puede apreciar una tabla con un concepto muy claro: con Políticas y procedimientos, pero sin ciberseguridad, el riesgo es alto. Sin Políticas y procedimientos, pero con ciberseguridad, el riesgo es alto. Tan solo cuando combinamos Ciberseguridad con Políticas y Procedimientos es cuando podemos minimizar el riesgo de ciberataques.
Comentarios recientes