Una vez finalizado el mes dedicado a la ciberseguridad, celebramos hoy, 30 de noviembre, el “Día Internacional de la Seguridad de la Información” (Computer Security Day) iniciativa propuesta en 1988 por la ACM (Association for Computer Machinery) con el objetivo de concienciar sobre la importancia de proteger este importante activo intangible de las organizaciones, así como las herramientas y sistemas que la guardan, transmiten y gestionan.

La fecha elegida se relaciona con el primer caso conocido de malware autorreplicable, el denominado “Gusano de Morris”, lanzado el 2 de noviembre de 1988 desde el Instituto Tecnológico de Massachusett (MIT) por un estudiante (Robert Morris) de la Universidad de Cornell con objeto, según su autor, de cuantificar el número de equipos que se conectaban  a Arpanet, la red predecesora de Internet.

Los resultados no fueron los que aparentemente esperaba Morris pues su gusano se fue autorreplicando infectando aproximadamente un 10% (6.000) del total de equipos conectados en la época (60.000) provocando resultados similares a los actuales ataques de denegación de servicio (DoS) paralizando y desconectando equipos por varios días, poniendo de manifiesto los riesgos y peligros que amenazaban ya a las incipientes redes.

Desde entonces las Tecnologías de la Información y Comunicaciones (TIC) han experimentado una impresionante evolucion e Internet está permanentemente presente en nuestras vidas, tanto a título personal como profesional y social. Por ello, los conceptos han cambiado mucho y lo que entonces conmemoraba el Computer Security Day ha pasado a ser de Seguridad de la Información.

En este contexto, aprovecharé esta efemérides para exponer en breves líneas algunas de la principales diferencias entre los conceptos más actuales.

Seguridad de la información vs seguridad informática

En la primera época de Internet la seguridad informática se entendía como una disciplina orientada a la seguridad de equipos y sistemas al ser estos los objetivos de los ataques y amenazas, lo cual implicaba un enfoque exclusivamente tecnológico.

Pero la enorme difusión del uso de redes, principalmente Internet, y la aparición de la Web 2.0, donde la información no solamente se obtiene, sino que se genera y comparte, obligó a considerar también uno de los principales activos en la actualidad, la información, surgiendo un nuevo concepto: seguridad de la información.

Utilizando terminología de una de las normas de la familia ISO 27000, orientadas al establecimiento de buenas prácticas para la implantación, mantenimiento y gestión del Sistema de Gestión de Seguridad de la Información (SGSI), la seguridad de la información puede definirse como el conjunto de medidas y tecnologías que se adoptan para impedir la utilización no autorizada, el mal uso, la modificación o denegación de utilización de los datos e información de una organización.

Al diferenciar medidas de tecnologías queremos expresar que aquellas no son solamente técnicas sino que comprenden otras diferentes como políticas, procedimientos, procesos, normativas, organizativas, de recursos humanos, etc., todas ellas orientadas a proteger la información en la totalidad de su ciclo de vida (creación, modificación, almacenamiento, preservación, difusión y eliminación), y también a los medios que aseguran este ciclo y a las personas que acceden a la información para utilizarla o manipularla.

Seguridad de la información vs ciberseguridad

En cuanto a la relación entre seguridad de la información y ciberseguridad debemos diferenciar dos espacios.

Si nos centramos en el dominio estricto de la información, la ciberseguridad es un subconjunto de la seguridad de la información ya que cualquier riesgo en el ciberespacio lo será también en el ámbito de aquella.

Sin embargo, si consideramos todos los activos de una organización, tangibles e intangibles, esta afirmación ya no es cierta pues la ciberseguridad se extiende a todos ellos, no solamente la información.

Por tanto como se debe proteger a todos los activos y los riesgos, a identificar y tratar, no corresponden solamente a ella, la ciberseguridad es más universal y su objetivo es más amplio abarcando a otros elementos como la seguridad de red, recuperación de incidentes, continuidad del negocio, etc.

Finalmente es preciso exponer, en relación con el apartado anterior que a diferencia de la seguridad informática, tanto la seguridad de la información como la ciberseguridad abarcan conceptos de alto nivel, como estrategia, políticas, formación, procedimientos, etc., por lo que ninguno de los dos términos es de naturaleza exclusivamente tecnológica.

En todo caso, con independencia de si se trata de seguridad informática, de la información o ciberseguridad, lo fundamental es que todas estén alineadas con la estrategia de la organización o entidad, se identifiquen y traten los riesgos asociados y como resultado de ello se tomen las medidas adecuadas para proteger todos sus activos, no solamente los tangibles, de forma especial la información.