Seguridad informática != Seguridad de la información

"Information security is no longer a technology-focused problem. It has become the basis for business survival as much as any other issue."

Security is not just a technical issue

La seguridad informática es sólo una parte del gran cuadro de Seguridad de la Información. Y de esto último es de lo que se ocupan los SGSI, pero no hablemos de estándares, sino del concepto en sí de Seguridad de la Información y en como se diferencia de seguridad informática.

Sobre decir que la seguridad informática es muuuy importante, en particular para los departamentos de sistemas y tecnología, pero la Seguridad de la información va más allá del concepto técnico para enfocarse en los procesos del negocio y en el flujo de datos tanto electrónicos como papel. Este marco nos ayudará a entender donde invertir el presupuesto (siempre limitado) para proteger los sistemas y dispositivos con información más sensible y más esenciales para la organización. INCISO: Consultar el libro "Security Metrics: Replacing fear, uncertainty and doubt" para la creación de cuadros de mando de Seguridad.

El software inseguro es uno de los principales motivos de la inseguridad de la información, el manejo de los procesos y los sistemas de información por parte de personal no concienciado lo suficientemente es otro de ellos. ¿Por qué una empresa se va a gastar cientos de miles de euros en proteger un servidor cuando se pueden volcar datos sensibles en un Smartphone, con pocas o ninguna medida de seguridad, que ni siquiera pertenece a la empresa?

Es absolutamente necesario que las empresas dispongan de medidas de seguridad informática en sus servidores y dispositivos (de forma propia o externalizada). Pero un buen número de herramientas de seguridad configuradas y controles técnicos establecidos no son suficiente para manejar los riesgos de las empresas de la captura, procesamiento y uso de datos sensibles.

Si todos los miembros de la empresa supieran que datos se procesan y porque, como se usan, y que  se debería prescindir de ellos tan pronto como el costo de almacenarlos y protegerlos exceda el valor del negocio de retenerlos, eso, sería vital para reducir el daño que un incidente pudiera ocasionar. Ha habido ejemplos recientes de incidentes que conservaban datos sensibles más allá del punto en que eran ya de poco valor. Estos datos representan una gran responsabilidad (evitable) cuando un incidente ocurre. Los de IT pueden controlar el acceso a una base de datos, pero quizá no pueda imponer estrictos controles de retención o forzar el hashing u otros controles similares sin un mandato regulatorio o legal. La seguridad informática compone una pequeña parte de la Seguridad de la Información, la primera es la parte técnica y la segunda un proyecto global o proceso continuo, o mejor aún; una actitud.  

Basado en el original