La Ciberseguridad es la capacidad de proteger el uso del ciberespacio de los ataques cibernéticos mientras que la seguridad de la información pretende la protección de la información y de los sistemas de información tanto en acceso, como en uso y apropiación evitando interrupciones, modificaciones o destrucciones no autorizados de datos e información, de manera que se garantice integridad, disponibilidad y confidencialidad.
La Norma ISO 27032 de Gestión de la Ciberseguridad es un estándar para gestionar la Seguridad de la información y la Seguridad en las Redes en el ciberespacio, seguridad en Internet y Protección de las Infraestructuras cibernéticas, para lo que empresas y organizaciones deben gestionar su marco de referencia de ciberseguridad.
Este marco de referencia NIST (National Institute of Standards and Technology of USA) propone gestionar las siguientes funciones en las empresas y organizaciones: identificar, proteger, detectar, responder y recuperar. Para la funcionalidad de identificar se propone gestionar las categorías: Gestión de Activos, Entorno de negocios, Gobierno, Evaluación de riesgos y Estrategia de gestión de riesgos.
Para la función de proteger: Gestión de Identidad y Control de Acceso, Sensibilización y Formación, Seguridad de Datos, Procesos y Procedimientos de Protección de la Información, Mantenimiento y Tecnología de Protección. Para la función de detectar: Anomalías y Eventos, Monitoreo Continuo de la Seguridad y Procesos de Detección.
Para la función de respuesta: Planificación de la respuesta, Comunicaciones, Análisis, Mitigación y Mejoras. Para recuperar: Planificación de la recuperación, mejoras y comunicaciones.
Ahora bien para hacer realidad este marco en las organizaciones se debe establecer una hoja de ruta que incluya: evaluar el estado actual de la empresa y organización frente a la ciberseguridad, analizar las brechas e identificar las acciones necesarias de intervención, formular e implementar el plan de acción.
La temática se vuelve mas critica con la extensión del ciberespacio dado por la computación ubicua y las ciudades inteligentes y por tanto además de cumplir con las normas se deben gestionar marcos y modelos para esta supra-infraestructura cibernética.
