InfoSec, es la unión y reducción de las palabras Information Security, siendo su traducción en español Seguridad de la Información, que como todos conocemos, el objetivo de esta práctica es la conservación de la Confidencialidad, Integridad y Disponibilidad – CID de la información digital y no digital, que, gracias al soporte y uso de normas, estándares y guías de buenas prácticas especializadas en la materia, se logran definir marcos de trabajo InfoSec a un nivel Estratégico, Táctico y Operacional dentro de las organizaciones.
A través de las políticas, lineamientos, procesos, procedimientos y herramientas definidas en las estrategias de seguridad de la información, logramos obstaculizar a las amenazas internas y externas que tienen por objetivo acceder a información de la organización o personal y lograr convertirlas en ganancias económicas, a través de actos delictivos, como: fraude, acoso, chantaje, e incluso pudiendo organizarse a un nivel para ejecutar acciones de secuestros y extorsión.
El CID – Confidencialidad, Integridad y Disponibilidad
Son las cualidades de la información, que por objetivo la seguridad de la información debe proteger, a continuación, se resume la descripción de cada una:
Confidencialidad: esta cualidad tiene por objetivo que solo el personal autorizado pueda acceder a la información.
Integridad: se enfoca en que la información no tenga cambios sin control, es decir sin conocer quién y cuándo realizó la modificación. Disponibilidad: con esta cualidad se logra que la información este accesible para el personal autorizado y el momento en el que lo necesite.
Disponibilidad: con esta cualidad se logra que la información este accesible para el personal autorizado y el momento en el que lo necesite.
Estándares, guías y buenas prácticas relevantes para la gestión de seguridad de la información:
- Familia de las ISO/IEC 27000: Son el conjunto de normas de seguridad. Las directrices para la certificación en gestión de seguridad de la información se encuentran en la Norma 27001, que se enfocada en el diseño, implementación y mantenimiento del Sistema de Gestión de Seguridad de la Información – SGSI.
- NIST: Instituto Nacional de Estándares y Tecnología, provee guías para proporcionar una visión general de aplicación de controles y gestión de seguridad informática para apoyar a la seguridad de la información.
- IASME: El estándar de gobierno de IASME se desarrolló durante varios años durante un proyecto financiado por el gobierno para crear un estándar de seguridad cibernética que sería una alternativa asequible y alcanzable al estándar internacional, ISO/IEC 27001.
- CIS Controls: CIS Controls son el estándar global y las mejores prácticas reconocidas para proteger los sistemas y datos de TI contra los ataques más generalizados. Los 20 controles CIS son un conjunto prioritario de acciones que cualquier organización puede seguir para mejorar su postura de seguridad cibernética.
- PCI DSS: El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un estándar de seguridad de la información para organizaciones que manejan tarjetas de crédito de marca de los principales esquemas de tarjetas.
- Proyecto Top Ten de OWASP: este documento para la seguridad de las aplicaciones web es publicado por The Open Web Application Security Project (OWASP), lo que representa un amplio consenso sobre cuáles son los defectos de seguridad más críticos de las aplicaciones web.
No son los únicos pero son los mas representativos en el ámbito de seguridad de la información.