¿Qué se considera activo desde el punto de vista de la ciberseguridad?

El concepto de Seguridad de las Tecnologías de la Información y las Comunicaciones.

El concepto de Seguridad de las Tecnologías de la Información y Comunicaciones (STIC) referencia al conjunto de medidas de seguridad implementadas por una organización con el fin de proteger la información almacenada, procesada o transmitida por sus sistemas de información y telecomunicaciones, de manera que se preserve la confidencialidad, integridad y disponibilidad de la información, así como la integridad y la disponibilidad de los elementos que tratan dicha información.

La protección de la información es un desafío cada vez más complejo debido, entre otros factores, a la conectividad permanente a redes públicas, como por ejemplo Internet, que quedan fuera del control de la organización, a la movilidad requerida por el personal de la organización o al riesgo de que terceros realicen ataques contra los datos de la organización.

Proporcionalidad de la seguridad respecto a sus costes.

La seguridad absoluta, entendida esta con una probabilidad del 100%, no existe; siendo imposible de alcanzar debido al obligatorio compromiso entre el nivel de seguridad, los recursos disponibles y la funcionalidad deseada. La seguridad es proporcional al coste de las medidas de protección y, por tanto, se opone a los sistemas abiertos, sin ningún tipo de protección, que pretenden facilitar el acceso a cualquier usuario.

En definitiva, la implementación de seguridad es un problema de ingeniería, un compromiso entre costes, funcionalidad y protección. Para implementar seguridad en una organización de forma adecuada se deben planificar y tener en cuenta los siguientes aspectos:

  1. Análisis de Riesgos: estudio de los riesgos existentes y valoración de las consecuencias de estos sobre los activos de tipo información.
  2. Gestión de Riesgos: valoración de los diferentes controles (elementos que reducen el riesgo) y decisión sobre los más adecuados en cada caso. Esto permite determinar el riesgo residual.
  3. Política de Seguridad: adaptación de la operativa habitual de la organización a las medidas de seguridad requeridas.
  4. Mantenimiento: control continuo de la eficiencia de las medidas de seguridad implementadas y la adecuación de estas a nuevos escenarios de riesgo.
  5. Planes de Contingencia: determinación de las medidas a adoptar ante un ciberincidente.
Facebook
Twitter
LinkedIn
En esta entrada:
El concepto de seguridad de las TIC es mucho más amplio que la simple protección de los datos de una organización desde un punto de vista lógico. Indudablemente intervienen factores tecnológicos y aspectos tales como la protección física, las salvaguardas o el cumplimiento normativo siempre teniendo en cuenta condicionantes internos y externos a una organización.