“La información es poder”, dijo el filósofo británico Francis Bacon en el siglo XVII. Hoy en día, 400 años más tarde, la competencia por poseerla se ha hecho tan feroz que ha impulsado el fortalecimiento de las estrategias orientadas a su resguardo, dentro y fuera de las grandes organizaciones.  

¿Has sido víctima de malware o eres de los que ignora las alertas de actualización de sus equipos? Probablemente no lo sepas, pero puede que tus prácticas de seguridad sean el sueño de los cazadores de datos y la pesadilla de tus compañeros de TI. La información es un activo esencial para cualquier compañía, pero en el día a día, tener acceso a ella desde cualquier lugar y de manera ilimitada, se ha vuelto tan cotidiano que pasa desapercibido. Pagamos las cuentas, revisamos ese trabajo que no alcanzamos a terminar en la oficina y hasta compartimos datos con el contador a través de Whatsapp. Las ventajas de lo digital son numerosas, sin duda.

Sin embargo, esta comodidad supone también una serie de riesgos importantes, especialmente cuando se mira desde el ojo de las corporaciones. Para entenderlos, definamos primero de qué tratan la Ciberseguridad y la Seguridad de la Información.

Como madre e hija

Aunque ambas disciplinas actúan comúnmente en conjunto dentro de las organizaciones, hay una serie de principios de ejecución que las distinguen. La Seguridad de la Información es una amalgama de medidas orientadas a proteger, preventiva y reactivamente, los activos de información de una empresa, ente gubernamental o institución. Tiene un alcance amplio; los datos que se empeña en resguardar pueden encontrarse en formato físico, digital o simplemente ser ideas y conocimientos que forman parte del saber colectivo de la organización.

La Ciberseguridad, por su lado, ejecuta también un rol protector de los bienes intangibles, pero solo de aquellos interconectados en formato digital. Se entiende, entonces, que la relación entre ambas (Seguridad de la Información y Ciberseguridad) es como la de un árbol con sus ramas. Si bien hoy en día la Ciberseguridad ha tomado tal relevancia que pareciera opacar a la Seguridad de la Información, esta última es el tronco desde el cual se desarrolla y crece.

Aspectos comparativos
Seguridad de la Información Ciberseguridad
Abarca todo el espectro de protección de datos en formato digital, físico o verbal. Compone los elementos, medidas y equipos destinados a controlar la seguridad informática de una entidad virtual.
Como concepto, esta práctica se orienta hacia lo defensivo, con estrategias de prevención. Incorpora acciones ofensivas, atacando a las amenazas (malware) mediante soluciones tecnológicas.
Entendiendo que busca proteger incluso las ideas, la Seguridad de la Información incluye a las personas en su estrategia. La Ciberseguridad contempla acciones relacionadas con la protección técnica.
Ambas buscan la protección de los datos de valor para garantizar así la confidencialidad, integridad y disponibilidad de ellos para la empresa.

Y, ¿qué amenaza los datos?

Para empezar, partamos por aclarar que no toda la información está en la misma categoría en términos de importancia. Los datos financieros, como los detalles de la nómina o de las cuentas bancarias, son un activo obvio a proteger; pero tenemos también el banco de datos de clientes, nuestros planes estratégicos de crecimiento y propiedad intelectual. La lista es larga y para abarcarla toda, cada organización identificará sus datos dentro de 3 clasificaciones principales:

⚠️ Crítica: Es información indispensable para la continuidad de las operaciones de la empresa.

⚠️ Valiosa: Se considera importante para la organización.

⚠️ Sensible: Debería ser conocida únicamente por personal autorizado.

En ese sentido la Seguridad de la Información (que abarca a la Ciberseguridad) pone en marcha medidas automáticas, de tecnología, jurídicas y de gestión para proteger la información, de acuerdo a los niveles de riesgo evaluados para cada una.

Ricardo Olmos, relator del Curso de Ciberseguridad de ACL y experto en TI, nos cuenta que un fallo en la aplicación de estas normas es lo que suele abrir brechas de vulnerabilidad. De ahí que la participación activa de los miembros de la organización sea vital para el éxito de la estrategia.

“Las amenazas están allí constantemente. Las herramientas de ataque son conocidas y están disponibles en la web. Ya no hace falta ser un experto para hackear un sistema. Por eso hay que trabajar en identificar las posibles motivaciones que hay en el mercado, evaluar nuestras vulnerabilidades y desarrollar normas orientadas a disminuir el riesgo de un ataque”.

En números

🔐 Se estima que cada 39 segundos ocurre un ciberataque
🔐 Identificar un ataque malicioso toma una media de 146 días
🔐 170 dólares es el costo promedio de cada dato robado
🔐 60% de empresas en Latinoamérica sufrió un incidente de seguridad durante 2020
🔐 10.000 millones de dólares costó el ciberataque más caro hasta la fecha, el ransomware NotPetya

Perfil de Ricardo Olmos

Ricardo es un profesional egresado de la Universidad de Chile en Ciencias de la Computación. Su experiencia y formación le han permitido certificarse como experto internacional en Ciberseguridad y Seguridad de la Información. En ACL Academy colabora como relator de los cursos Fundamentos ISO 27001, Auditor ISO 27001 y Lead Cibersecurity.