Seguridad Cibernética vs Seguridad de la Información

Si ha tenido alguna participación con la seguridad, se habrá encontrado con personas que utilizan la seguridad cibernética y la seguridad de la información. indistintamente , y otros argumentando (en voz alta y apasionadamente) que son completamente distintos. En un estilo típico, me gustaría opinar sobre el hecho de que ambos están equivocados.

Dado que estamos lidiando con áreas que importan mucho, ya que las personas se ponen en riesgo al malinterpretar la seguridad, ¿cuál es la diferencia?

Hay muchos puntos de vista diferentes aquí, así que si pisoteo tu favorito, recuerda que no es nada personal. Me inclinaré por definiciones académicas claras en lugar de marketing, ya que estas cosas realmente importan.

Disciplinas y Dominio

Lo primero que debemos cubrir es la diferencia entre una disciplina y un dominio. Esto puede complicarse, así que eliminaré todos los detalles innecesarios. Existen diferentes definiciones, pero estas son las más útiles para lo que estamos hablando.

Disciplina: un enfoque, un conjunto de conocimientos y habilidades que se pueden aplicar a diferentes entornos para comprender e interactuar. Un ejemplo de una disciplina podría ser la biología, la física o la medicina.

Dominio : un entorno o área, siguiendo la definición militar, estos son teatros de operaciones separados. Un ejemplo de un dominio más académico podría ser el de los océanos, mientras que militarmente terrestre y cibernético son dos de los dominios generalmente reconocidos.

La seguridad en sí misma es en gran medida una disciplina, un conjunto de habilidades y enfoques diseñados y aprendidos para identificar amenazas y mitigar su impacto en los activos. En última instancia, independientemente del tipo de seguridad del que estemos hablando, las amenazas siempre serán personas y los activos serán más personas. Puede haber algunas herramientas y tecnología que intervienen en el camino, pero la seguridad se trata de personas. Si estuviéramos preocupados por las amenazas ambientales, lo llamaríamos seguridad.

Si tomamos la seguridad como una disciplina, eso significa que la seguridad cibernética es esa disciplina aplicada al dominio cibernético. La seguridad de la información es la misma disciplina aplicada al dominio de la información. Si queremos una metáfora útil, entonces podemos comparar la disciplina, el conocimiento y las habilidades de seguridad, con el conjunto de herramientas estándar. Si nos apegamos a la metáfora (y la estiramos hasta el punto de ruptura), entonces el dominio podría ser la diferencia entre abordar un trabajo de electricidad o de plomería.

Claramente hay una diferencia entre ser plomero o electricista, pero ambos tipos de tareas pueden ser realizadas por un aficionado hábil (sin garantías de seguridad o éxito, por supuesto). Y las herramientas para ambos se superponen en un 90 %, y solo unas pocas especializadas compensan la diferencia.

¿Qué es el Dominio de la Información?

El dominio de la información es grande.

Realmente grande.

Y viejo.

Para ser precisos, los primeros ejemplos conocidos de seguridad de la información se remontan a más de cuatro mil años, a los contratos sumerios escritos y luego encerrados en un sobre de arcilla (con otra copia del contrato escrita en él) para mantener la integridad de la información.

Unos cientos de años más tarde, tenemos el capítulo 12 del Libro de los Jueces que nos habla del primer uso (conocido) de una contraseña para identificar a las personas, en una historia que aún hoy nos da el término shibboleth.

Otro ejemplo, hace apenas unos siglos, fueron las bibliotecas encadenadas de la Edad Media que no estaban diseñadas para proteger la confidencialidad, como era de esperar, sino la disponibilidad: los libros eran objetivos tentadores para los ladrones, por lo que asegurarse de que estuvieran disponibles en la biblioteca implicaba cadenas pesadas. .

Hoy en día, con la tecnología tan extendida como lo es, la seguridad de la información a menudo se confunde con el aspecto tecnológico, pero es importante reconocer que si consideramos la seguridad de la información correctamente, se aplica a toda la información, no solo a lo que almacenamos en una computadora en algún lugar.

La lente estándar a través de la cual las personas miran la seguridad de la información es la tríada de la CIA, y aunque definitivamente tiene sus fallas, es ampliamente reconocida y está bien establecida, así que me quedaré con ella. CIA en este caso estándares para tres atributos que la seguridad de la información está diseñada para proteger:

• Confidencialidad: la información solo debe estar disponible para aquellos que están autorizados a acceder a ella
• Integridad: la información no debe ser manipulada por personas no autorizadas
• Disponibilidad: la información debe estar disponible cuando se requiera

Existen otros modelos, pero cualquiera que haya trabajado en seguridad de la información sabrá de memoria la tríada de la CIA: prácticamente está tatuada en nuestro cerebro por repetición en este punto.

¿Qué es el Dominio Cibernético?

Así que tenemos información, ¿qué pasa con el lado cibernético de las cosas?

La definición académica agradable y limpia habla de 'un dominio de procesamiento de información electrónica que comprende una o varias infraestructuras de tecnología de la información'. La clave aquí es la pieza de tecnología, por lo que el dominio cibernético habla de tecnología (y vamos a suponer tecnología basada electrónicamente, en lugar de tabletas de arcilla sumeria) procesando información.

En gran medida, eso significa que la seguridad cibernética es un subconjunto de la seguridad de la información, pero se vuelve un poco confuso en las afueras, ya que la misma tecnología también puede ser funcional, ya sea en términos industriales o incluso en términos de control de acceso. Para simplificar, podemos decir que el dominio cibernético se trata de tecnología que se puede conectar a otra tecnología que se vincula con el dominio de la información.

El problema es que necesitamos algo más que la tríada de la CIA como lente para mirar este mundo. La confidencialidad, la integridad y la disponibilidad están un poco más lejos de lo que necesitamos si hablamos a nivel de tecnología. Cuando nos adentramos en la tecnología, tenemos que tratar con ideas más detalladas y concretas que cuando tratamos con el dominio de la información.

Hasta ahora no se ha desarrollado realmente una lente adecuada. Hay un argumento para el hexágono parkeriano , que agrega los elementos de Posesión/Control, Usabilidad y Autenticidad a la tríada, pero aún están estrechamente relacionados con el nivel conceptual de la información. En cambio, la seguridad cibernética es simultáneamente una implementación más concreta de la disciplina de seguridad dentro del dominio y más difícil de definir debido a la gran cantidad de partes móviles y la complejidad involucrada.

En última instancia, probablemente esté bien usar los términos indistintamente, porque casi todo el mundo lo hace. Sin embargo, si desea profundizar en la teoría, es importante reconocer que existe una superposición significativa entre la seguridad cibernética y la seguridad de la información, pero no son lo mismo.

En cambio, la ciberseguridad se inclina fuertemente hacia la implementación técnica de la seguridad de la información dentro de los sistemas tecnológicos, mientras que la seguridad de la información es una implementación más conceptual.

¿Importa la diferencia entre ciberseguridad y seguridad de la información?

Mucha gente dirá que la diferencia es irrelevante y no están completamente equivocados. Sin embargo, vale la pena ser consciente y reconocerlo, ya que la seguridad realmente importa. Dependiendo del área específica en la que esté trabajando, no sería exagerado llamarlo una cuestión de vida o muerte.

Si está trabajando solo en seguridad cibernética, seguridad puramente de la información o incluso en un dominio diferente como la seguridad física, está bien hacer precisamente eso, pero ser consciente de la existencia de otros dominios y cómo interactúan con el suyo es absolutamente vital. lo que realmente importa en seguridad - proteger activos (personas) de amenazas (también personas, a veces las mismas).

Domine su área y reconozca dónde tiene brechas que requieren maestros de los otros dominios. El lado cibernético solo se volverá más complejo e interactuará con más dominios, a medida que avanzamos en el futuro .