Seguridad de la información
¿Cuál es la diferencia entre seguridad de la información y seguridad informática?Qué es la seguridad de la información - Definición
¿Qué es la seguridad de la información en cualquier caso?
En resumen, la definición de seguridad de la información es la protección de la información de una empresa, independientemente de su naturaleza u origen. Esto incluye la información de carácter técnico y no técnico. Esto significa que la seguridad de la información se centra en la información en papel, la que está en los bolsillos de las personas, pero por supuesto también en la TI. La seguridad de la información se esfuerza por cumplir los objetivos de seguridad establecidos.
Seguridad de la información - Objetivos
La seguridad de la información pretende, por tanto, proteger toda la información sensible de una empresa, por un lado, contra actos intencionados no autorizados, como el acceso o la manipulación, y, por otro, contra causas de fuerza mayor, como el fuego, el agua, etc., y, por tanto, en última instancia, contra posibles daños económicos o de reputación importantes.
Para garantizar una protección eficaz de la información, la seguridad de la información debe organizarse en el marco de un sistema de gestión con procesos definidos en consecuencia.
¿Cuál es la diferencia entre seguridad de la información y seguridad informática?
Ahora, la mera protección técnica a través de sistemas de cortafuegos, por ejemplo, ya no es suficiente para proteger a las empresas y debe ir acompañada de amplias medidas organizativas. Las medidas correspondientes incluyen la creación de una estructura organizativa, la determinación del nivel de seguridad deseado y los objetivos de seguridad. Además, otras medidas incluyen la creación de una estrategia de seguridad y el concepto de seguridad, así como la definición de procesos para el análisis de amenazas, para las pruebas y la supervisión, para la auditoría, para la mejora continua, etc.
Distinción entre seguridad de la información y seguridad informática.
En muchas empresas se distingue entre seguridad de la información y seguridad informática (también ciberseguridad, ciberresiliencia). Esto se debe en parte a los requisitos técnicos para los empleados. La seguridad informática se centra en la protección de todas las infraestructuras informáticas, los sistemas informáticos y las aplicaciones que procesan información. Todo el tratamiento de la información tiene lugar aquí a un nivel puramente técnico. Por tanto, la seguridad informática debe considerarse un subcampo de la seguridad de la información. La seguridad de la información, en cambio, übergeordneter, por definición, trabaja con información tanto técnica como no técnica y también se ocupa de la organización.
¿Qué significa realmente técnico/no técnico?
Aunque parezca complicado a primera vista, la definición que hay detrás es sencilla:
La información hoy en día puede existir en formas muy diferentes. La información puede existir como un archivo digital en un ordenador o servir para, por ejemplo, la seguridad de la red o del ordenador. Este es el ámbito técnico o informático. La seguridad de la información y la protección de los datos también son un tema aquí.
Pero al mismo tiempo, la información también puede existir en otra forma. Por ejemplo, en forma de archivo de papel en el que se registran datos importantes. Además, la información importante también puede transmitirse verbalmente, de persona a persona. Los locales de una empresa también son un sistema no técnico o no digital y forman parte de la seguridad de la información.
Los objetivos de protección de la seguridad de la información no se limitan, pues, a los sistemas informáticos y a los datos digitales. Más bien, la seguridad de la información sirve para asegurar todos los datos relevantes en áreas técnicas y no técnicas.
Objetivos de la seguridad de la información - definición de los objetivos de protección.
Los objetivos de seguridad/objetivos de protección clásicos de la seguridad de la información son:
- La confidencialidad - protección de la información del conocimiento no autorizado.
- La integridad - prevención de la modificación no autorizada de los datos, o al menos debe ser posible detectar que se han realizado modificaciones.
- La disponibilidad - se refiere tanto a los sistemas de tecnología de la información como a los datos tratados en ellos e incluye la garantía de que los sistemas están operativos en todo momento y que los datos son accesibles según lo previsto.
- La autenticidad - los datos deben ser identificables de forma única para un remitente. Hay que asegurarse de que la información es auténtica y creíble (reconocimiento de la fuente) o de que los sistemas y las aplicaciones informáticas están libres de manipulaciones y son inviolables. El remitente puede ser una persona, un sistema o una aplicación de información.
Otros posibles objetivos de seguridad/objetivos de protección de la información son
- Indisponibilidad,
- Seguridad de la información
- No rastreabilidad,
- Pseudonimidad (protección contra la identificación por el nombre, por ejemplo, según § 3 párrafo 6a BDSG), imperceptibilidad (garantiza que no se pueda determinar quién envía o recibe los datos),
- Porcentaje de seguridad de la información (por ejemplo, en el caso de los datos de la empresa),
- Ocultación (nadie, excepto los interlocutores de la comunicación, sabe que se está produciendo una comunicación),
- Anonimato (protección contra la identificación. También es una consecuencia de la desvinculación),
- Auditabilidad (verificabilidad y trazabilidad mediante el registro y la documentación de las acciones),
- Continuidad (capacidad de establecer que „algo podría ser diferente de lo que parece“. Por el contrario, el objetivo de protección „Integrität“ sólo permite determinar que „algo es como es“),
- Fiabilidad (evitar que los sistemas asuman estados no permitidos o indefinidos y garantizar que la función especificada se realice de forma fiable),
- Controlabilidad,
- no reproducibilidad,
- negabilidad creíble.
Para lograr estos objetivos, se toman medidas de gestión de la seguridad de la información.
Protección de datos y seguridad de la información - ¡intrínsecamente unidas!
Los temas de la protección de datos y la seguridad de la información son inseparables. Dado que hoy en día gran parte de los datos están en formato digital, la seguridad informática también está a la vuelta de la esquina, ya que garantiza la protección de los datos sensibles. Sólo a través de la seguridad informática, como subcampo de la seguridad de la información, es posible la protección de datos überhaupt. Por lo tanto, la protección de datos y la seguridad de la información están estrechamente relacionadas.
Simplificado, también se puede expresar de la siguiente manera: La protección de datos de una empresa combinada con la seguridad informática da como resultado una seguridad de la información holística. La interacción entre la protección de datos y la seguridad de la información sólo funciona de esta manera, pero es mucho mejor por ello.
Mis amenazas como pauta para la seguridad de la información.
Debido a que la información puede existir de muchas formas diferentes, las posibles amenazas de pérdida o daño de datos también son multifacéticas. Así que, de nuevo, las amenazas operan naturalmente tanto a nivel técnico como no técnico, y la siguiente pauta de seguridad de la información tiene sentido:
- Las amenazas a nivel técnico incluyen los ataques de los hackers, el espionaje, así como los virus informáticos o la modificación o descifrado de datos por parte de personas no autorizadas.
- Las amenazas a nivel técnico son las siguientes.
- Las posibles amenazas a nivel no técnico incluyen el vandalismo, pero también las catástrofes naturales debidas a inundaciones, incendios o tormentas.
Medidas de seguridad de la información
Hay que prevenir todas estas posibles amenazas y proteger así la información de cualquier tipo.
Las medidas se organizan en el marco de un concepto de seguridad y -como la propia información- tienen lugar a nivel técnico y organizativo. La dirección correspondiente es responsable de la planificación y organización de todas las medidas.
Así, la gestión de la seguridad de la información se lleva a cabo con la ayuda del sistema de gestión de la seguridad de la información (SGSI). Si observamos ahora las medidas tomadas en las respectivas áreas técnicas y no técnicas, la distinción entre las áreas técnicas y no técnicas queda aún más clara:
Las medidas técnicas de seguridad de la información son, por ejemplo: Garantizar que el software, los programas de protección contra virus, los sistemas de copia de seguridad y los cortafuegos estén disponibles y actualizados. Además, hay que asegurarse de que los procedimientos de encriptación y autenticación funcionen siempre correctamente. Los componentes informáticos, como los ordenadores y todos los datos importantes, se almacenan y mantienen a salvo mediante medidas técnicas.
En cambio, los ejemplos de medidas organizativas son: Se trata de la organización. Según la definición, estas medidas de seguridad de la información son, por ejemplo: la formación y el perfeccionamiento temático de los empleados, que también sirven para concienciarlos sobre el tema de la seguridad de la información. Además, se puede formar a los empleados sobre la documentación correcta o darles directrices sobre cómo manejar responsablemente las contraseñas y otros datos sensibles similares.