Grupo #6 de Auditoría III - PNFI UNEXCA

¿Por qué cifrar la información sensible?

   Cuando hablamos de activos de empresa, tendemos a considerar únicamente como tales los bienes tangibles, como por ejemplo mobiliario, maquinaria, los servidores. Pero no debemos olvidar que también son activos, en este caso intangibles, la cartera de clientes, nuestras tarifas, la propiedad intelectual o incluso la identidad de la empresa. Toda esta información personal, financiera, legal, de I+D, comercial y estratégica, junto con el software para manejarla, son nuestro principal activo. Sin ella no podríamos prestar nuestros servicios ni vender nuestro producto. Por ello es necesario preservar su integridad, confidencialidad y seguridad.

    Para poder llevar a la práctica esta protección, tendremos que poner en marcha una serie de políticas de seguridad para, entre otras cosas, localizar y clasificar la información crítica, controlar quién tiene acceso a la información y a qué información, proteger nuestros sistemas y también permitirnos utilizar los mecanismos necesarios para poder cifrar aquella información especialmente sensible o confidencial, como por ejemplo: copias de seguridad que vayamos a almacenar en la nube, datos personales sensibles o planes estratégicos.

Entre la información que necesitaremos cifrar estará:

• La información almacenada (discos, ordenadores, portátiles, dispositivos móviles, memorias externas): backups que vayamos a subir a la nube, datos personales sensibles, si trabajamos por ejemplo con datos de salud; e información confidencial como planes estratégicos.
• Las comunicaciones o información en tránsito, como correos electrónicos o transacciones a través de la web.

¿Cuál es la finalidad del cifrado?

   El cifrado tiene como finalidad ofuscar la información mediante técnicas criptográficas para así evitar que los datos sean legibles para aquellos que no conozcan la clave de descifrado. Este tipo de técnicas son una solución eficaz para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles, ya que permiten controlar el acceso a la información y limitan la difusión no autorizada en caso de pérdida o robo de dichos soportes.

Por otro lado, no debemos dejar de lado otro tipo de aspectos complementarios, como los siguientes:

• La clave de descifrado deberá ser lo suficientemente robusta para que impida accesos no autorizados a la información que se protege;
• Si pierdes la clave, no podrás acceder a la información;
• Ante un fallo del dispositivo de almacenamiento físico, sería muy complicado recuperar la información, se encuentre cifrada o no.

   En algunas ocasiones, para el intercambio de documentos habrá que utilizar una infraestructura de claves públicas de cifrado, proporcionadas por Autoridades de Certificación. Por ejemplo, para el envío de documentos como facturas o notificaciones a las AAPP, habrá que utilizar la firma electrónica.

Las herramientas criptográficas

   Para cifrar la información, utilizaremos herramientas criptográficas. Su objetivo es convertir los datos en ilegibles para todos aquellos que no dispongan de la calve de descifrado. Al cifrar se garantiza la integridad de lo cifrado y su confidencialidad. Es decir, se podrá comprobar que la información no ha sido alterada y que nadie que no conozca la clave ha podido verla. Además, hay técnicas que permiten firmar electrónicamente tanto documentos como correos electrónicos, por ejemplo facturas, contratos, o los que contienen información personal o de clientes, etc. Esto garantizará además su autenticidad y no repudio, es decir, que procede de quien lo firmó y que no puede decir que no lo envió.

Elegir la herramienta correcta de cifrado dependerá de una serie de variables:

• si queremos una herramienta transparente para el usuario o no;
• si el descifrado de la información debe realizarse en cualquier lugar;
• el perfil de usuario que va a utilizar la herramienta de cifrado.

   Debemos tener en cuenta que para cifrar información no siempre será necesario utilizar herramientas específicas, ya que algunos programas de uso generalizado, como los paquetes ofimáticos o los compresores de ficheros, ya las incorporan.

Brechas de seguridad: protégete ante el ransomware

    El ransomware es una ciberamenaza con gran impacto sobre datos de carácter personal, tanto en el sector de las pymes como de las grandes empresas. A pesar de aplicar las medidas de seguridad oportunas, las brechas de seguridad pueden ocurrir, por lo que las organizaciones deben estar preparadas para ser capaces de detectarlas y actuar para minimizar y evitar el daño a los derechos y libertades de las personas. 

   Una de las medidas en las que se materializa el principio de responsabilidad activa del RGPD es en la obligación de notificar las brechas de seguridad a la autoridad de control, a menos que sea improbable que la quiebra suponga un riesgo para los derechos y libertades de los

afectados, dentro de las 72 horas siguientes a que el responsable sea consciente de que el hecho se ha producido.

   Además, en los casos en que sea probable un alto riesgo para los derechos o libertades de los afectados, también se les deberá comunicar la brecha. El objetivo de la comunicación a los afectados es permitir que puedan tomar medidas para protegerse de las consecuencias. Para la notificación de brechas de seguridad, la AEPD pone a disposición de los responsables de tratamiento un formulario en su Sede Electrónica.

   Un 10% de las notificaciones de brechas de seguridad recibidas en la AEPD durante 2018 desde el 25 de mayo de 2018 (fecha de aplicación del RGPD) indican que el motivo de la brecha es el cifrado de equipos mediante algún tipo de ransomware, y en ocasiones el vector de ataque es el acceso mediante servicios de escritorio remoto.

   Es habitual que usuarios de pymes y grandes empresas necesiten tener acceso desde internet a un servidor o cualquier otro equipo de su red para ejecutar determinadas aplicaciones, realizar tareas de mantenimiento o de soporte. A veces, también necesitan proporcionar acceso a otras organizacionesque les prestan un servicio determinado.

  Desde Windows NT 4.0, Microsoft incorpora el protocolo de escritorio remoto que proporciona acceso remoto a la interfaz gráfica del equipo y permite resolver la necesidad anteriormente descrita. Es un servicio habitualmente usado en servidores que tienen instalado el sistema operativo Windows, aunque también se utiliza en otros sistemas operativos, para evitar tener que desplazarse físicamente donde se encuentra el equipo.

   Conociendo la dirección de internet del equipo (IP o nombre DNS) y con unas credenciales válidas, se puede acceder a la interfaz gráfica del equipo que tenga habilitado el servicio y que por defecto utiliza el puerto de comunicaciones 3389 TCP.

   Una práctica no recomendada, pero muy habitual por su sencillez de implementación, es redirigir los puertos en el router del proveedor de internet para permitir ese acceso remoto a algún equipo de la organización. Al permitir esta conectividad se está exponiendo un servicio normalmente protegido sólo por usuario y contraseña.

Los equipos de TI están desbordados por los ciberataques y sufren para poder estar al día en ciberseguridad

Sophos, compañía de referencia en seguridad para protección de redes y endpoints, ha anunciado los resultados de su informe internacional “The Impossible Puzzle of Cybersecurity”, que revela que los responsables de TI actualmente se encuentran sobrepasados por ciberataques provenientes de todas las direcciones y tienen problemas por mantenerse al día en materia de seguridad debido a la falta de experiencia, presupuesto y tecnologías actualizadas.

   El informe de Sophos muestra cómo las técnicas de ataque son diversas y, a menudo, cuentan con múltiples fases, lo que aumenta la dificultad a la hora de defender las redes  empresariales. Uno de cada cinco directores de TI no sabe cómo ha sido atacado, y la diversidad de métodos de ataque significa que ninguna estrategia para defenderse es perfecta.

  “Los ciberdelincuentes están evolucionando sus métodos de ataque y, a menudo, utilizan múltiples cargas para beneficiarse al máximo. Las vulnerabilidades de software son el punto de entrada inicial en el 23% de los incidentes, pero también son utilizados de alguna manera en el 35% del total de los ataques, lo que demuestra cómo se están utilizando las vulnerabilidades en múltiples etapas de la cadena de ataque“, dice Chester Wisniewski, principal research scientist de Sophos. “Las empresas que sólo parchean externamente los servidores críticos son vulnerables a nivel interno y los cibercriminales están aprovechando estas y otras deficiencias en la seguridad”.

La debilidad en seguridad lleva a que se comprometa la cadena de suministro

   “Los ciberdelincuentes siempre están buscando formas de acceder a las empresas, y ahora los ataques a la cadena de suministro está situándose cada vez más arriba en su lista de métodos a poner en práctica. Los responsables de TI deberían considerar la cadena de suministro como un riesgo para la seguridad prioritario, pero no lo hacen porque creen que estos ataques perpetrados por gobiernos se dirigen a objetivos de alto perfil. Si bien es cierto que los gobiernos pueden haber creado los modelos de estos ataques, una vez que estas técnicas son publicadas, otros ciberdelincuentes a menudo las adoptan por resultar ingeniosas y tener altas tasas de éxito”, dice Wisniewski. “Los ataques a la cadena de suministro empresarial también son una forma efectiva en la que los ciberdelincuentes realizan ataques activos y automáticos, donde seleccionan a una víctima de entre un grupo más grande de objetivos para después acceder activamente a esa empresa específica mediante el uso de técnicas hand-to-keyboard y movimientos laterales, evitando ser detectados y pudiendo llegar a su destino”.

En ciberseguridad faltan experiencia, presupuesto y tecnologías actualizadas

   Con respecto a los presupuestos, el 66% dice que la inversión en ciberseguridad de su empresa (incluyendo tanto personas como tecnologías) está por debajo de lo que debería ser. Disponer de una tecnología actualizada es otro problema, con un 75% de acuerdo en que estar al día en materia de tecnologías para la ciberseguridad supone un desafío para su empresa. Esta falta de experiencia en seguridad, de presupuestos y de tecnologías actualizadas indica que los responsables de TI están teniendo problemas para responder a los ciberataques cuando deberían poder planificar y gestionar de manera proactiva los siguientes pasos en este sentido.

La seguridad sincronizada resuelve el puzzle imposible de la ciberseguridad

   Las ciberamenazas vienen a través de ataques a la cadena de suministro, correos electrónicos de suplantación de identidad (phishing), ataques de software, vulnerabilidades, wifis inseguras y muchos vectores más, las empresas necesitan una solución de seguridad que les ayude a eliminar estas filtraciones de datos e identifiquen mejor las amenazas que no han sido vistas.

Seguridad Informática: La vulnerabilidad de los sistemas de información

    La expansión de internet y la masificación de dispositivos tecnológicos son factores que han ido favoreciendo la aparición de ataques informáticos, que han afectado a grandes empresas y bancos alrededor del mundo, ocasionando pérdidas considerables, no solo económicas, sino en pérdidas de confianza y credibilidad por parte de los clientes en los sistemas de información.

   Hemos sido testigos en más de una ocasión, de alertas a clientes bancarios respecto de cautelar la entrega de información para no ser víctimas de un intento de fraude.

   Recordemos que la seguridad informática es el proceso de prevenir y detectar el uso no autorizado de un sistema informático, e implica proteger contra intrusos el uso de nuestros recursos informáticos con intenciones maliciosas o de obtener ganancias, o incluso la posibilidad de acceder a ellos por accidente. Pero esto, requiere de medidas claras de control y monitoreo permanente de ellos.

   El hacker busca conseguir información valiosa. Sabe y conoce que el activo más importante en las organizaciones de cualquier naturaleza son sus datos. 

   La preocupación por las vulneraciones informáticas se comienza a agudizar en empresas de distintos países. Es por esto que un equipo de seguridad experto y con recursos, combinado con las herramientas adecuadas, puede hacer que la tecnología y las políticas trabajen de forma conjunta para obtener mejores resultados de seguridad.

   Se hace evidente la necesidad de contar con mejores prácticas que facilite la comprensión e implementación de nuevos sistemas de control que se adecuen a la realidad actual de cada empresa.

AMENAZA Vs VULNERABILIDAD, ¿SABES EN QUÉ SE DIFERENCIAN?

    La diferencia entre vulnerabilidad y amenaza es muy interesante, aunque son términos que se confunden a menudo. Veamos cómo se definen:

• Una vulnerabilidad (en términos de informática) es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma, por lo que es necesario encontrarlas y eliminarlas lo antes posible. Estos «agujeros» pueden tener distintos orígenes por ejemplo: fallos de diseño, errores de configuración o carencias de procedimientos.

• Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser tanto internas como externas.

     Por tanto, las vulnerabilidades son las condiciones y características propias de los sistemas de una organización que la hacen susceptible a las amenazas. El problema es que en el mundo real, si existe una vulnerabilidad, 

siempre existirá alguien que intentará explotarla, es decir, sacar provecho de su existencia. 

    Una vez que tenemos clara la diferencia entre amenaza y vulnerabilidad, es interesante introducir el concepto de riesgo.

    El riesgo es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza, como puede ser un hacker, un ataque de denegación de servicios, un virus… El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo.

CONTROL FISCAL EN VENEZUELA

    Los estudios del Control Fiscal han venido cobrando una gran importancia simultáneamente con el avance de la administración financiera. Abarca un campo tan amplio el control de la actividad estatal en general, y en particular el control fiscal, esta presente en el ordenamiento de los estados.

   La disciplina fiscal recorre el mundo. La sostenibilidad de las finanzas públicas, cada vez hay más consenso sobre ello en todos los países, es elemento esencial para el desarrollo económico y social. Pero en situaciones como la venezolana parece más fácil decirlo que hacerlo. Reducir un agudo desequilibrio fiscal, como el que persiste hasta ahora en Venezuela, no solo requiere decisión política, sino instrumentos eficaces. No solo requiere titulares de prensa sobre recortes, sino reglas de juego que garanticen una senda segura de eliminación de las perturbaciones. En el resto del mundo es cada vez más frecuente el diseño y puesta en marcha de reglas fiscales claras para imponer límites al déficit, al gasto y a la deuda pública y que, además, tengan bien definidas las instancias de decisión responsables y transparentes.

    Desde el punto de vista orgánico y funcional, el control fiscal, no se confunde con los actos y operaciones de naturaleza fiscal como el manejo de fondos o bienes del Estado, su conservación, inversión y control interno, sujetos a su escrutinio. Los actos de control fiscal independientemente de que refrenden o glosen una cuenta, partida o movimiento fiscal, tiene una entidad propia y carecen de subrogados dentro o fuera de la administración pública.

    La función de control estará sujeta a una planificación que tomará en cuenta los planteamientos y solicitudes de los órganos del Poder Público, las denuncias recibidas, los resultados de la gestión de control anterior, así como la situación administrativa, las áreas de interés estratégico nacional y la dimensión y áreas críticas de los entes sometidos a su control.

    La Contraloría General de la República es un órgano del Poder Ciudadano, al que corresponde el control, la vigilancia y la fiscalización de los ingresos, gastos  y bienes públicos, así como de las operaciones relativas a los mismos, cuyas actuaciones se orientarán a la realización de auditorias, inspecciones y cualquier tipo de revisiones fiscales en los organismos y entidades sujetos a su control.

    La Contraloría, en el ejercicio de sus funciones, verificará la legalidad, exactitud y sinceridad, así como la eficacia, economía, eficiencia, calidad e impacto de las operaciones y de los resultados de la gestión de los organismos y entidades sujetos a su control.

   Corresponde a la Contraloría ejercer sobre los contribuyentes y responsables, previstos en el Código Orgánico Tributario, así como sobre los demás particulares, las potestades que específicamente le atribuye esta Ley.

LA GESTIÓN DE RIESGO EN LA EMPRESA Y LA AUDITORIA.

    Actualmente se aprecia un auge de los sistemas de gestión de riesgos al interior de las empresas. Se constituyen principalmente en una herramienta para ayudar a la administración y la junta a enfrentar proactivamente los riesgos emergentes.

    Para un auditor debe ser importante la actitud general de la administración frente a la gestión del riesgo y la inversión que se haga sobre este tema. El comportamiento frente al riesgo en general, tendrá una incidencia en cómo se asuman los riesgos propios asociados con la información financiera y sus reportes.

    Es así como la falta de aceptación, a nivel ejecutivo, de la importancia de gestionar los riesgos de toda la empresa puede indicar una falta de compromiso con la gestión de los riesgos más estrechamente relacionados con los informes financieros.

   Por el contrario, algunos auditores entienden que el enfoque más amplio de la administración para gestionar los riesgos de toda la empresa puede ser interesante, pero no relevante para las auditorías de los estados financieros. Por ejemplo, riesgos como los movimientos de la competencia, la innovación disruptiva, los cambios en la demografía de los clientes, las preocupaciones sobre el talento o el impacto de los eventos geopolíticos, pueden parecer procesos externos a la contabilidad y a los controles internos del proceso de información financiera.

    Esta última posición pudiera ser equivocada. El débil compromiso de la administración para abordar los riesgos en general puede ser también un indicador del enfoque de la administración en los riesgos de la información financiera. Por lo tanto, el enfoque de la gestión de riesgos en toda la empresa de una organización puede proporcionar a los auditores información valiosa en el proceso de auditoría.

    Para un auditor es importante aprender sobre el enfoque empresarial de la gestión de riesgo, quién participa, los tipos de riesgos comerciales identificados y priorizados por la administración como parte de ese proceso; también es importante entender cómo la alta administración así como la junta o consejo supervisan la respuesta de la entidad a las preocupaciones de mayor riesgo, pues su manera de proceder puede proporcionar información valiosa para que el auditor planee de mejor manera sus auditorías. Este entendimiento puede revelar ideas sobre riesgos comerciales clave y el sistema de control interno en conjunto.

ASPECTOS SUSTANCIALES DE LAS NORMAS GENERALES DE AUDITORÍA DE ESTADO.

    Inicialmente se separa el contenido del Artículo 1 de las normas derogadas, en dos aspectos:

    El Objeto de las Normas y el Ámbito Subjetivo; dentro de las personas sujetas, específicamente en el numeral 6 del artículo 2, se incluye de forma expresa a “los auditores y firmas de auditores, certificados por la CGR (Contraloria General de la República), que ofrezcan o presten sus servicios profesionales en materia de control a los sujetos a que se refiere el parágrafo único del artículo 43 de la Ley Orgánica de la Contraloría General de la República y del Sistema Nacional de Control Fiscal”, se muestra un ajuste al ámbito de aplicación de los órganos, entes, personas natural.

   En el artículo 3, se refiere a la “Integración de la comunidad en la auditoría”, este es un aspecto novedoso en las normas, atendiendo a lo dispuesto en el artículo 62, de la Constitución de la República Bolivariana de Venezuela, ya mencionado al inicio. Es preciso plasmar el contenido exacto del artículo 3 de las normas:

   Los órganos de control fiscal procurarán incorporar a los ciudadanos y ciudadanas en el desarrollo de la auditoria. A tal fin podrán: 

1.- Solicitar información sobre el grado de satisfacción de las necesidades de la comunidad y la calidad de los servicios prestados por los órganos y entes del sector público. 

2.- Integrar a los ciudadanos y ciudadanas a las labores de control sobre la gestión pública, a fin de coadyuvar con el seguimiento a las recomendaciones formuladas por los órganos de control fiscal a los sujetos evaluados; a la verificación del cumplimiento de las acciones correctivas derivadas de la auditoria, así como para realizar cualquier actividad que contribuya a alcanzar los objetivos de la auditoria. La participación ciudadana en la auditoria se regulará por lo establecido en las Normas para Fomentar la Participación Ciudadana dictadas por la Contraloría General de la República”

  En el Artículo 5, se establece de forma expresa las fases de la Auditoría, diferenciándolas: planificación, ejecución, presentación de resultados y seguimiento; esta última fase no estaba contenida en las normas derogadas, en concordancia con lo contenido en el Manual de Normas y Procedimientos en Materia de Auditoría de Estado. Expresa claramente que “La Auditoría de Estado externa deberá complementarse con la Auditoria de Estado interna, a fin de tener una visión Integral y actualizada de las operaciones del objeto a evaluar”. Se describen los principios que rigen la actividad de la Administración Pública de forma expresa, economía, eficiencia, eficacia y oportunidad, establecidos en la Ley Orgánica de la Administración Pública. 

Uno de los aspectos importantes de las Normas es la obligación compartida que la misma atribuye a auditores y autoridades competentes en su artículo 9, de garantizar que los trabajos de auditoría realizados cumplan con “los criterios de calidad de general aceptación”, los cuales son descritos en los numerales 1 al 6 del Boletines técnicos de información e investigación financiera 12 artículo en referencia. 

    En el artículo 11, es el deber o la obligación que tendrán los auditores de apegarse en el desarrollo de su trabajo a los principios y valores “éticos” previstos tanto en el contenido de las nuevas normas como en la normativa que regule su ejercicio profesional (Código de Ética) y la conducta de los servidores públicos; alcances éstos últimos que no estaban contemplados en las disposiciones derogadas. 

     En el aspecto referido a la planificación de la auditoría, los epígrafes Aspectos Sustanciales de las nuevas Normas Generales de Auditoría de Estado 13 de los artículos 22 y 23 de las normas en comento, se mantiene la esencia, en cuanto a que la Auditoría de Estado estará sujeta a una planificación que tomará en cuenta los planteamientos y solicitudes de la Contraloría General de la República, la Superintendencia Nacional de Auditoría Interna y demás órganos o entes competentes. Se sustituye “programación de actividades” por “plan de acciones” manteniendo la esencia de la norma en este aspecto, estableciendo el contenido específico de la planificación de auditoría. 

LOS NUEVOS CONCEPTOS DEL CONTROL INTERNO (INFORME COSO).

     El informe COSO, es el resultado de la investigación de un grupo de trabajo integrado por la Comisión Treadway con el objetivo de definir un nuevo marco conceptual de Control Interno capaz de integrar las diversas definiciones y conceptos que se utilizan sobre este tema.

  

    En Estados Unidos de América, el Informe COSO ha permitido que académicos, legislativos, directores de empresas, auditores internos y externos y líderes empresariales tengan una referencia conceptual común de lo que significa el Control Interno, no obstante las diferentes definiciones y conceptos que sobre este tema existen.

     El estudio ha tenido gran aceptación y difusión en los medios financieros y en los Consejos de Administración de las organizaciones, resaltando la necesidad de que los administradores y altos directores presten atención al Control Interno, tal como COSO lo define, enfatizando la necesidad de los Comités de Auditoria y de una calificada Auditoria Interna y Externa, recalcando la necesidad de que el Control Interno forme parte de los diferentes procesos y no de mecanismos burocráticos.

LO QUE SE ENTIENDE POR CONTROL INTERNO.

      Los controles internos se diseñan e implantan con el fin de detectar, en un plazo deseado, cualquier desviación respecto a los objetivos de rentabilidad establecidos para cada empresa y de prevenir cualquier evento que pueda evitar el logro de los objetivos, la obtención de información confiable y oportuna y el cumplimiento de leyes y reglamentos.

 Los controles internos fomentan la eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a garantizar la confiabilidad de los estados financieros y el cumplimiento de las leyes y normas vigentes. No todas las personas entienden lo mismo por “Control Interno”, esto se agrava cuando sin estar claramente definido se utiliza en la normatividad.

En sentido amplio, se define como: un proceso efectuado por el Consejo de Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías: 

•  Eficacia y eficiencia de las operaciones. 
•  Confiabilidad de la información financiera. 
•  Cumplimiento de las leyes y normas aplicables.

SEGURIDAD DE LOS SISTEMAS

Seguridad de los sistemas:

    La seguridad informática, también conocida como ciberseguridad o seguridad de tecnología de la información, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida en una computadora o circulante a través de las redes de computadoras. ​ Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La ciberseguridad comprende software (bases de datos, metadatos, archivos), hardware, redes de computadoras y todo lo que la organización valore y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada.

    La definición de seguridad de la información no debe ser confundida con la de «seguridad informática», ya que esta última solo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.

El objetivo de la  seguridad informática:

  Establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:

•  La infraestructura computacional: es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente y anticiparse en caso de fallos, robos, incendios, sabotajes, desastres naturales, fallos en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
•  Los usuarios: son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
•   La información: esta es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.