Hoy por hoy la información se ha convertido en el activo más valioso en cualquier organización, ya

que esta es usada para la toma de decisiones empresariales.

Es por esto, que cada día se ve que las empresas invierten más en tecnologías y en la protección
de los datos que su empresa considera críticos.

La importancia de la seguridad de la información en una organización radica en que, si bien es

cierto que la parte física cuesta dinero, recuperar la información después de una falla no tiene
precio, ya que esta en muchas ocasiones no puede ser recuperada o no puede ser devuelta a su
estado original si ha sido alterada por no tener los respectivos controles que garanticen los tres
pilares de la seguridad de la información: confidencialidad, disponibilidad e integridad. Al decir
información también implica procesos y procedimientos.

Confidencialidad: Propiedad que determina que solo las personas que están autorizadas tengan
acceso a la información.

Integridad: significa que la información no se altere entre el emisor y el receptor. Que se

mantenga el mensaje original.

Disponibilidad: que la información esté disponible en cualquier instante de tiempo.

La seguridad informática hace referencia a la infraestructura para proteger la información; dentro

de esta infraestructura no solo caben los conocidos firewalls sino también una serie de dispositivos
tecnológicos (UTMs, servidores especializados, datacenters, etc) que deben estar protegidos a su
vez por mecanismos como prevención de incendios e inundaciones, protección contra hurto de las
partes de los centros de datos o de los centros de redes, etc.

El corazón de la norma ISO 27001 es el análisis de riesgos y el establecimiento de controles que

permitan mitigar estos riesgos.

Al hablar de seguridad informática y de seguridad de la información es obligatorio hablar y

profundizar en los riesgos. Los riesgos están presentes en cada cosa que se haga y estos en su
forma más básica se pueden definir como la probabilidad de que algo o alguien cause algún daño a
la información (en este caso).

Pero al hablar de riesgo hay que también mencionar las amenazas y la vulnerabilidad. La amenaza
se puede definir como algo o alguien que puede causar un daño en una organización (por ejemplo,
un virus, un empleado inconforme)

Vulnerabilidad: es una debilidad en el sistema o infraestructura informática (como ejemplo, una

mala configuración de un firewall es una vulnerabilidad porque permite tener un nivel de riesgo)

A todo lo que esté gestionado e integrado sobre lo que sucede con la información se le puede
llamar Seguridad de la información.

Para hacer implementaciones de Sistemas de Gestión de Seguridad de la Información o de

Seguridad Informática, la organización se puede apoyar en diferentes documentos, como son las
metodologías y de buenas prácticas (MAGERIT, ITL, COBIT), las normas ISO de la familia 27000 y las
leyes que rigen a nivel mundial y de cada país.