Queremos dedicar este post a explicar la importancia de la seguridad de la información y la ciberseguridad, así como las normas que las rigen (ISO 27001 y ENS).
Antes nada, a los que no conozcan la diferencia entre ambos términos, explicar que la seguridad de la información hace referencia al conjunto de medidas de las organizaciones que permiten resguardar y proteger la información; buscando mantener la confidencialidad, la disponibilidad e integridad de los datos.
Sin embargo, la ciberseguridad, se enfoca en la protección de la información en el medio informático (todo lo contenido o que circula en los ordenadores).
Ejemplos de ambos casos:
- Seguridad de la información: existen distintos niveles de “riesgo y seguridad”. La amenaza ante una pérdida se puede producir tanto a nivel lógico (datos en soporte digital) como así en formato físico, nos referimos a toda aquella información que pueda contener una empresa en papel: nóminas, facturas, procedimientos, acuerdos confidencialidad.
- Ciberseguridad: Acceso no autorizado o brechas detectadas en, Servidores, Software, Hardware… así como las amenazas que puedan acechar y la prevención de las mismas.
¿Cómo podemos minimizar los riesgos y proteger nuestra información? Existen estándares, protocolos, reglas y herramientas que podemos implementar.
1. Norma ISO 27001:
Esta metodología define los requisitos necesarios para implementar la gestión de la seguridad de la información en una organización. De esta manera, permite la evaluación del riesgo en activos de información y la aplicación de los controles necesarios para mitigarlos o eliminarlos.
¿Quién puede certificarse?
Cualquier tipo de organización, con o sin fines de lucro, pública o privada.
¿Por qué?
- Cumplir con los requerimientos legales
- Obtener una ventaja comercial
- Evitar costes de incidentes
- Mejorar la organización interna
- Generar confianza a terceros
2. ENS:
El Esquema Nacional de Seguridad (ENS) recoge la política de seguridad que debe ser aplicada en el uso de los sistemas electrónicos. Lo forman una serie de principios básicos y requisitos mínimos para proteger la información adecuadamente.
Será aplicado por las AA.PP. para garantizar el acceso, disponibilidad, integridad, confidencialidad, autenticidad y conservación de los datos y servicios gestionados en el ejercicio de sus competencias de forma electrónica.
El ENS, se define en tres niveles en función de la categorización de la información que estamos manejando. Siendo el nivel ALTO el obligatorio para todas las AAPP, y Bajo/Medio para empresas privadas como norma general.
¿Las empresas privadas también están obligadas?
En este caso, la respuesta es depende. Si esas empresas privadas van a prestar servicios a alguna administración pública, sí tienen la obligación de cumplir los requisitos establecidos en el Esquema Nacional de Seguridad. Dentro de estas empresas están las tecnológicas que ofrecen servicios de mantenimiento, almacenamiento en la nube, desarrollo de software o programas de contabilidad o nóminas.
¿Por qué?
Por ley. Las Administraciones Públicas, deben estar acreditadas. En caso contrario como hemos indicado anteriormente, si una empresa de sector privado realiza servicios en los que la información pueda ser amenazada, o es subcontrata de alguna AAPP, debe estar certificada con ENS.
¿Aún con dudas? Contáctanos y te lo terminamos de explicar.