Entonces ¿qué es exactamente la ciberseguridad y cómo encaja con todos los otros términos tecnológicos de moda que escuchamos habitualmente?
Primero avancemos sobre algunas definiciones básicas:
Se define a la seguridad de la información (también conocida como infosec, por la forma abreviada de su nombre en inglés) como la “preservación de la confidencialidad, integridad y disponibilidad de la información” (ISO/IEC 27001:2005), donde confidencialidad es “la propiedad de que la información no sea puesta a disposición de, o se divulgue a, individuos, entidades o procesos no autorizados”, integridad es “la propiedad de mantener la exactitud y completitud de los activos” y disponibilidad es “la propiedad de ser accesibles y utilizables ante la demanda de una entidad autorizada”.
En este punto debemos hacer una pequeña advertencia: cuando escuche a sus empleados del área de seguridad hablar sobre CIA, probablemente no se refieran al organismo de seguridad internacionalmente conocido, sino a los tres conceptos mencionados anteriormente por sus nombres en inglés (confidentiality, integrity, availability).
En otras palabras, la seguridad de la información sería lo siguiente: si voy al banco y deposito $10.000, en primer lugar, quiero que nadie más sepa sobre este dinero, solamente el banco y yo. (Esto es confidencialidad).
Luego de unos meses, cuando vaya a retirar mi depósito, quiero que el importe sean los $10.000 más los intereses que correspondan; no quiero que me entreguen $1.000 porque alguien estuvo jugando con mi cuenta. (Esto es integridad)
Por último, cuando vaya a retirar mi dinero, no quiero que el cajero me diga que el sistema del banco está caído y que tengo que regresar al día siguiente. (Esto es disponibilidad)
La definición de ciberseguridad no es muy distinta a la de seguridad de la información: “La ciberseguridad debe estar libre de peligros y daños ocasionados por interrupciones, caídas de los servicios o abusos de las TIC. El peligro o daño debido al abuso, interrupción o caída de los servicios puede estar constituido por una limitación de la disponibilidad y confiabilidad de las TIC, una violación a la confidencialidad de la información almacenada en las TIC o un daño a la integridad de esa información”(Estrategia nacional de ciberseguridad 2011, Ministerio Holandés de Seguridad y Justicia).
Seguridad de la información vs. Ciberseguridad A pesar de que no hay una posición oficial sobre las diferencias entre seguridad de la información y ciberseguridad, a mí me gusta interpretarlas de la siguiente manera: ciberseguridad es 95% seguridad de la información; la única diferencia es que esta última incluye la seguridad en medios no digitales (por ejemplo, papel), mientras que la ciberseguridad se enfoca solamente en la información en formato digital. En la actualidad, los medios no digitales representan una pequeña porción del total de información disponible; generalmente, mucho menos del 5% de toda la información.
En muchos casos, seguridad de la información y ciberseguridad se usan indistintamente, como sinónimos. Parecería ser que ciberseguridad es el término preferido en círculos gubernamentales en los Estados Unidos, mientras que seguridad de la información generalmente es más utilizada en bancos y organizaciones de salud.
Lo importante aquí es que el uso de “seguridad de la información” y “ciberseguridad” habitualmente son intercambiables. Usted puede utilizar ambos términos que no se equivocará.
