Por Eliud Elizondo Moya
El nivel de conciencia sobre seguridad de la información en las organizaciones es más elevado que nunca. Sin embargo, parece que no es posible mantener la suficiente atención para avanzar a la par de las nuevas tecnologías y las amenazas, con lo que se puede poner en riesgo el activo más importante de las empresas: la información.
Lo primero que hay que preguntarnos sobre la forma en que protegemos nuestros activos más preciados: ¿estamos orientando la seguridad de la información hacia el camino correcto?
Responder de forma honesta esta pregunta y hacer un análisis al respecto nos ayudará a identificar elementos fundamentales que deben considerarse en una estrategia corporativa de seguridad, para lograr que ésta sea capaz de brindar un beneficio real a la organización y que no sea vista como un gasto innecesario, exclusivo de las áreas de Tecnologías de Información (TI).
Con el fin de afrontar dicha interrogante, debemos ampliar nuestra visión para descubrir que la seguridad de la información no sólo depende de las áreas TI o de un grupo selecto de personas dentro de la institución, sino que se encuentra en cada componente del negocio.
Para obtener este enfoque es necesario analizar tres grandes temas, los cuales debemos considerar como parte de una estrategia corporativa:
Un programa de gestión de seguridad de la información
Este debe contar con el patrocinio de la alta dirección, con el fin de poder representar y responder a todo el negocio. Recordemos que buscamos una gestión adecuada de la seguridad de los activos de información y estos no sólo se encuentran en sistemas informáticos, sino que debemos preocuparnos también por los espacios físicos de toda la organización.
Un adecuado programa de gestión de seguridad debe estar alineado con la estrategia corporativa, lo cual convierte a la seguridad en un habilitador de negocio y en un elemento para lograr que los riesgos se transformen en oportunidades. Lo anterior puede conseguirse al definir una estrategia y un plan de madurez, a través del análisis de riesgos de seguridad en los procesos de negocio, lo cual permite identificar las fortalezas, debilidades y requerimientos en éstos.
Además, es una excelente actividad para aumentar la conciencia en los líderes de las diferentes áreas de la empresa sobre los riesgos existentes y los cuidados que deben tener con la información que custodian.
Sólo hay que considerar que las fortalezas, riesgos y requerimientos de seguridad en cada proceso deben ser identificados y detallados por los líderes y responsables de llevarlos a cabo. Las áreas de TI y Seguridad de la Información únicamente pueden fungir como moderadores de dicha actividad.
En este programa de gestión también se incluyen temas como:
· Modelo y gobierno de seguridad
· Continuidad del negocio (BCP/DRP)
· Análisis y administración de riesgos
· Capacitación y concientización
· Métricas y reportes de seguridad
Administración de amenazas y vulnerabilidades
La seguridad incluye la gente, los procesos y la tecnología. Cabe destacar que este último punto juega un rol muy importante debido a la gran cantidad de información de negocio que se encuentra resguardada en los sistemas informáticos, la cual se transmite a través de Internet utilizando soluciones en la Nube, los sitios web de la organización o el correo electrónico. En muchas ocasiones, este contenido no se transmite a través de medios confiables y seguros, por lo que podría ser interceptado o incluso alterado durante su envío.
Siguiendo la construcción del rompecabezas de una estrategia corporativa de seguridad, debemos conocer nuestras fortalezas, identificar las amenazas tecnológicas y atender los riesgos a los que el negocio está expuesto. Esto se logra al realizar evaluaciones técnicas en la infraestructura de TI y los sistemas informáticos.
Es recomendable que esta actividad no se realice sólo ejecutando una simple herramienta, sino que se involucren profesionales experimentados en la materia para que coordinen los esfuerzos e identifiquen las rutas que alguien malintencionado podría tomar, con el objetivo de robar o alterar la información del negocio.
Resulta increíble cómo, hoy en día, muchas organizaciones están expuestas a que un individuo, en menos de 5 minutos, suplante la identidad de cualquier empleado, incluyendo los miembros directivos, a través del correo electrónico. Esta situación es muy difícil para que una herramienta pueda identificarla claramente; sin embargo, una persona con conocimientos muy básicos de hackeo (comúnmente llamado Script Kiddie), puede realizarlo de forma sencilla cuando no existen los controles adecuados.
Hay que considerar que aunque estas actividades son técnicas, debemos presentar las fortalezas, riesgos y amenazas a los niveles directivos en un lenguaje de negocios, con lo cual puede percibirse cómo puede verse afectada la organización al no atender dichos riesgos y amenazas. Ejemplos de ello son el daño a la imagen, sanciones de la autoridad por incumplimiento, robo de dinero a través del proceso de cuentas por pagar, etcétera.
Una adecuada administración de amenazas y vulnerabilidades debe incluir:
· Pruebas de hackeo ético
· Evaluación de la arquitectura tecnológica
· Análisis de seguridad en aplicaciones y móviles
· Seguridad en el ciclo de vida de desarrollo de sistemas informáticos
· Análisis de seguridad en la Nube
Protección de datos, privacidad y cumplimiento
Desde que se publicó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, un sinnúmero de empresas –independientemente de su giro o sector– han llevado a cabo diagnósticos de cumplimiento y mejoras en los procesos que requieren algún tratamiento o manejo de datos personales; todo esto con la finalidad de efectuar los ordenamientos de dicha ley.
Es muy importante formalizar lo que establecen esta y otras leyes o reglamentos que procuran la protección y privacidad de cualquier dato que esté en manos de las empresas; sin embargo, es muy común observar la separación entre los esfuerzos que se realizan para proteger la información crítica del negocio y los datos que deben resguardarse por obligación de alguna ley o norma.
Sólo hay que considerar que las fortalezas, riesgos y requerimientos de seguridad en cada proceso de negocio deben ser identificados y detallados por los líderes y responsables de llevarlos a cabo.
No debemos aislar el tema de la seguridad de la información; es necesario buscar la alineación de la estrategia, los procesos, el plan de madurez y el modelo de seguridad con aquellos elementos que requiere cumplir la organización, sobre todo los relacionados con la protección y privacidad de datos.
Además del cumplimiento, hay otros factores que es importante considerar durante la protección y privacidad de datos:
· Un gobierno de datos.
· El plan de protección, incluido en la estrategia corporativa de seguridad de la información.
· El programa para la prevención de fuga.
Finalmente, hay que reflexionar sobre el camino que está tomando la seguridad de la información dentro de la organización y comenzar a trabajar en conjunto con todas las áreas, para definir y ejecutar una estrategia que sea un habilitador más para el cumplimiento de los objetivos y, por supuesto, para proteger este vital activo: la información.
