Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Confidencialidad
Integridad Disponibilidad
Los términos "ciberseguridad" y "seguridad de la información" se suelen usar indistintamente, pero en realidad la
ciberseguridad es una parte de la seguridad de la información. Concretamente, la ciberseguridad se puede definir como la
protección de los activos de información, abordando las amenazas a la información procesada, almacenada y transportada por
sistemas de información interconectados.
Generalmente, la ciberseguridad hace referencia a las amenazas que afectan a una entidad debido a la existencia de un
ciberespacio global. A diferencia de la seguridad de la información, la ciberseguridad no incluye los peligros naturales, los
errores personales o la seguridad física. Para decirlo de una manera más simple, si eliminamos las amenazas derivadas de un
comportamiento humano ofensivo y adverso que vienen a través de sistemas interconectados, la ciberseguridad no sería un
problema, y la seguridad de la información por sí sola sería suficiente.
La Figura 1.2 muestra las complejas relaciones entre la ciberseguridad y otros dominios de la seguridad, tal y como
se describen en la Organización internacional de normalización (ISO) 27032. Por ejemplo, no todos los servicios de
infraestructuras críticas (por ejemplo, el agua, el transporte) afectarán directa o significativamente al estado de la
ciberseguridad dentro de una organización. Sin embargo, la falta de medidas apropiadas de ciberseguridad puede afectar
negativamente a la disponibilidad y fiabilidad de los sistemas de infraestructuras críticas que son utilizadas por los proveedores
de estos servicios (por ejemplo, las telecomunicaciones).1
Seguridad de la aplicación
Ciberseguridad
Seguridad Seguridad
de la red de Internet
©ISO. Este material se ha reproducido a partir de ISO / IEC 27032: 2012, con el
permiso del Instituto Nacional Estadounidense de Estándares (American National
Standards Institute, ANSI) en nombre de ISO. Todos los derechos reservados.
La gestión de las cuestiones de ciberseguridad exige la coordinación entre muchas entidades —públicas y privadas, locales
y globales— puesto que la ciberseguridad está estrechamente vinculada a la seguridad de Internet, las redes empresariales y
domésticas y la seguridad de la información. Ello puede ser complicado porque debido a cuestiones de seguridad nacional,
algunos servicios de infraestructuras críticas no pueden ser discutidos de una forma abierta, y el conocimiento de las
debilidades de estos servicios puede tener un impacto en la seguridad. Por lo tanto, se necesita un marco básico para el
intercambio de información y la coordinación de incidentes para asegurar a las partes interesadas que las cuestiones de
ciberseguridad se están tratando.2
Para proteger con éxito sus sistemas e información, los profesionales de la ciberseguridad deben mostrar un alto grado de
conciencia situacional. Este tipo de conciencia se adquiere con el tiempo, ya que generalmente se desarrolla a través de la
experiencia dentro de una organización específica. Cada organización tiene su propia cultura distintiva, lo que significa que las
condiciones varían mucho de una organización a otra. Por lo tanto, es fundamental que los profesionales de la ciberseguridad
tengan una comprensión detallada del entorno en el que operan y ser profundamente conscientes de las amenazas que afectan a
otras organizaciones e industrias para garantizar que se mantiene el conocimiento relevante.
1
Organización internacional de normalización, ISO/IEC 27032:2012: Information technology—Security techniques—Guidelines for
cybersecurity, Suiza, 2012
2
Ibid.
La protección de los activos contra las amenazas es una preocupación primordial para la seguridad en general. A su vez,
las amenazas se clasifican en función de la probabilidad (es decir, posibilidad) de que afecten a los activos protegidos. En
seguridad, las amenazas que están relacionadas con actividades maliciosas u otras actividades humanas a menudo reciben
mayor atención. La Figura 1.3 ilustra estos conceptos y relaciones de seguridad.
imponer
para reducir
controles
que puede
eso puede ser poseer
reducido por
vulnerabilidades
puede ser
consciente de
llevando a
Agentes
de
amenaza riesgo
ese exploit
dar
lugar a para
ese aumento
amenazas para activos
©ISO. Este material se ha reproducido a partir de ISO / IEC 27032: 2012, con el permiso del Instituto Nacional
Estadounidense de Estándares (American National Standards Institute, ANSI) en nombre de ISO. Todos los
derechos reservados.
La responsabilidad de proteger estos activos recae en las partes interesadas para quienes estos activos tienen valor. Por lo
tanto, las partes interesadas deben tener en cuenta las amenazas al evaluar el riesgo a estos activos. Esta evaluación del
riesgo, discutida en la sección 4.1, ayudará en el proceso de selección de los controles. Los controles se usan para proteger
activos, reducir vulnerabilidades e impactos, y / o reducir el riesgo a un nivel aceptable. Deben ser monitorizados y revisados
para asegurar que cada control específico sea adecuado para contrarrestar el riesgo a mitigar para el que ha sido diseñado.
Es importante tener en mente que el riesgo no puede ser eliminado totalmente, permanece el riesgo residual. Las partes
interesadas deben tratar de minimizar el nivel de riesgo residual. También puede ser necesario utilizar recursos externos para
garantizar que los controles funcionen correctamente.
El entorno empresarial, en particular, tiende a impulsar las decisiones sobre el riesgo. Por ejemplo, una pequeña empresa de
nueva creación puede ser mucho más tolerante con el riesgo que una empresa grande y consolidada. Por lo tanto, puede ser útil
hacer referencia a los criterios generales enumerados a continuación cuando se evalúan los factores que afectan la seguridad de
una organización específica.
Al evaluar los planes de negocio y el entorno empresarial general, considere impulsores, tales como:
• Naturaleza del negocio
• Tolerancia al riesgo
• Apetito de riesgo
• Misión, visión y estrategia de seguridad
• Alineamiento con la industria y tendencias de seguridad
• Requisitos de cumplimiento y regulaciones específicos de la industria
• Requisitos regionales de cumplimiento y regulatorios
– País o estado en el que se opera
• Fusiones, adquisiciones y alianzas
– Considerar el tipo, la frecuencia y el nivel resultante de la integración
• Servicios de externalizados o proveedores
Aunque los impulsores de negocios y de la tecnología no pueden predecirse con certeza, se deben anticipar razonablemente
y gestionar tan eficientemente como sea posible. El fracaso en la predicción de los impulsores clave de seguridad refleja la
incapacidad para reaccionar con eficacia ante las circunstancias cambiantes del negocio, lo que a su vez se traduce en una
seguridad reducida y en la pérdida de oportunidades de mejora.
La ciberseguridad se encarga tanto de las amenazas internas como de las externas a los activos de información digital de una
organización, centrándose en los procesos críticos de datos electrónicos, procesamiento de transacciones, análisis de riesgo y la
ingeniería de seguridad de los sistemas de información.
Se estima que hay entre 410.000 a 510.000 profesionales de seguridad de la información en todo el mundo, y se espera que
la demanda aumente un 53% para 2018 con más de 4,2 millones de puestos de trabajo disponibles. Sin embargo, estudios e
informes recientes sugieren que simplemente no hay suficientes profesionales capacitados para cubrir dichos puestos.