La Ciberseguridad es uno de los medios para proteger los riesgos del negocio, de ahí su importancia, la necesidad de impulsarla, mejorarla y no considerarla una flor de otoño. Permítanme la licencia de sustituir negocio por Administraciones Públicas (en adelante, AA.PP.) que es el sector en el que trabajo.
Aunque existen varias definiciones de Ciberseguridad he seleccionado la elaborada por Information System Audit and Control Association (ISACA): “protección de activos de información a través del tratamiento de amenazas que ponen en riesgo la información procesada, almacenada, transportada por los sistemas de información que se encuentran interconectados”. He subrayado los aspectos que considero claves en la definición.
Ahora bien, ¿sólo con la Ciberseguridad se protege la información que sustenta la misión de las AA.PP.? En parte sí pues protege una de las formas en las que se presenta la información: digital tratada por sistemas de información interconectados.
Las AA.PP. ¿sólo disponen de información digital y de sistemas interconectados? Evidentemente, NO.
Figura 1. En las A.A.P.P. todavía hay papel.
Cuando se protege la información digital tratada por sistemas de información que no están interconectados considero necesario rescatar un concepto más viejo que la Ciberseguridad: la Seguridad Informática. El fin de ambas es proteger la información digital pero el alcance es menor pues la Seguridad Informática está conformada por un conjunto de métodos, procesos, técnicas para el tratamiento de la información en formato digital, así como para la protección de las redes e infraestructura tecnológica.
¿Cuáles son los otros formatos de la información que deben proteger las AA.PP.? Físico (papel) e Inmaterial (conocimiento). Los tres formatos (digital, físico e inmaterial) se han de proteger en distintos estados: almacenada (armarios, cajones, discos duros, nube, memorias), procesada, en tránsito, verbal, impresa.
Llegados a este punto introduzco un tercer y último concepto: Seguridad de la Información. La Seguridad de la Información tiene por objeto proteger la información de los riesgos que puedan afectarla en sus diferentes formas o estados.
Por consiguiente, la Seguridad de la Información protege los activos de información sin importar su forma o estado utilizando metodologías, normas, tecnología y estructuras organizacionales orientadas a la aplicación y gestión de las medidas de seguridad apropiadas según la importancia y criticidad de los activos de información.
En el párrafo anterior he subrayado “estructuras organizacionales” ¿significa que en las AA.PP. se han de crear nuevas estructuras al margen de las estructuras orgánicas existentes? NO.
Las primeras han de estar imbricadas en las segundas para conseguir la implicación de los Centros Gestores responsables de la información que conocen su criticidad, sus formatos y sus estados.
Las estructuras organizacionales a las que he hecho mención tienen que estar conformadas, entre otros, por los Responsables de la Información y de los Servicios (el negocio), los Departamentos de Tecnología y un nexo de unión entre ambos “el Responsable de Seguridad de Seguridad de la Información”. Seguridad de la información conformada por la Seguridad Informática y la Ciberseguridad.
Muy acertadamente en el artículo que he tomado como punto de partida se indica “menos Ciber más negocio”, aunque yo he tratado escribir sobre la piedra angular a proteger en las AA.PP.: la información.
Autora: María Jesús Casado Robledo, Responsable de Seguridad de la Información en el Sector Público, y miembro de ProtAAPP