28 Jun Seguridad de la información: una materia que ninguna organización debe descuidar

Seguridad de la información: una materia que ninguna organización debe descuidar

La Seguridad de la Información es un tema que empieza a empujar con fuerza en México y otros países de Latinoamérica. Específicamente en el caso mexicano, el país ha empezado a voltear a ver la seguridad de la información no sólo como un requerimiento sino, que ha comenzado a entender la necesidad de contar con sistemas seguros, información confiable y disponible únicamente para quien debe recibirla.

La mayoría de las empresas privadas, principalmente financieras, cuentan con modelos de seguridad basados en alguna norma, mejores prácticas, o simplemente políticas de seguridad. Sin embargo no son las únicas organizaciones que hoy en día se preocupan por el tema, ya que entidades de gobierno estatales y federales, delegaciones e instituciones hacendarias han decidido buscar su certificación bajo la norma ISO 27001:2005, que en la actualidad es considerada como el repositorio más reconocido de las mejores prácticas para implementar un Sistema de Gestión de Seguridad de la Información, también conocido como SGSI.

Si bien muchas de las unidades de gobierno consideran adoptar esta norma como una necesidad a partir de la materialización de algún incidente grave de seguridad o algún ataque masivo; existen otras que han tomado la iniciativa de implementar un SGSI antes de que llegue la tempestad.

Desde el punto de vista de mi experiencia, he participado como líder de proyecto de iniciativas de implementación de SGSI en dos entidades de gobierno, y puedo comentar que la puesta en marcha en ningún momento fue similar una de otra. En cada organización encontré diferentes vertientes, desde la resistencia al cambio en la implementación de las políticas de seguridad, hasta la incredulidad en los riesgos detectados. Resulta típico escuchar frases como: “eso no sucede aquí”, “cómo podría pasar eso… aquí no creo que pase”, etc.

El factor más importante a considerar y que impone un reto para lograr que se establezca la seguridad de la información, siempre es la GENTE. Por ejemplo, ¿se han dado cuenta de que somos nosotros los que a veces filtramos la información por accidente y en otras ocasiones en una conversación “sin importancia” e inocentemente?.

Un Sistema de Gestión de la Seguridad de la Información permite mantener control sobre una serie de riesgos. En esta oportunidad se abarcará de solamente un riesgo que se refiere a: robo de información.

Actualmente existe un aumento considerable del robo de información y en la distribución maliciosa de la misma, lo cual genera impacto a las empresas. Por ejemplo en la Ciudad de México, el robo de datos desde dentro de una empresa se ha incrementado en los últimos tres años, pues pasó de 4 % en 2007 a 20% en 2010, según un análisis realizado por KPMG, en donde, una quinta parte de los incidentes de pérdida de datos que se reportaron en la primera mitad de 2010 provino de ataques malintencionados al interior de la organización.

El estudio reflejó que en las últimas estadísticas de pérdida y robo de información, desde 2007, son 23 millones de personas a nivel mundial las que se han visto afectadas por violaciones relativas a datos por una persona con malas intenciones dentro de la propia compañía. Los expertos en seguridad comentan que una consecuencia del robo de información ha sido la recesión económica, la cual pudo haber impulsado el crecimiento de incidentes de pérdida de datos perpetrados por gente mal intencionada de la propia empresa.

Lo preocupante es que los resultados del estudio ilustran que la amenaza del crimen mediante computadora, para las grandes corporaciones y dependencias del gobierno surge de ambos lados, es decir de dentro y de fuera de sus perímetros electrónicos, confirmando la tendencia en años anteriores.

Antes se pensaba que solamente mediante tecnología sofisticada se lograba la substracción de información sensible de las organizaciones, pero no es así, de hecho en la mayoría de los casos de robo de información lo que menos se emplea es tecnología, y se ha demostrado que la debilidad viene desde adentro, ya sea en los errores o las intenciones del personal de la organización. Esto es resultado de aplicar ingeniería social.

En materia de seguridad de la información, la ingeniería social es una técnica que permite a ciertas personas obtener información, accesos o privilegios en los sistemas de información, y con ello son capaces de llevar a cabo alguna acción que puede poner en riesgo a los individuos o a las empresas. Para estar alertas, y volviendo a los resultados publicados por KPMG sobre el perfil del delincuente que ejecuta este tipo de robos es: de género masculino, de 36 a 55 años, con más de 6 años de antigüedad, situados en la alta dirección, ya que de esta forma le resulta muy fácil el acceso a información valiosa, y la mayoría lo hace por una razón monetaria.

Un empleado capaz de cometer un delito es muy peligroso para una empresa, pero un empleado descuidado lo es más todavía, por ello las compañías deben reforzar su cultura en el aspecto de la seguridad de la información.

Esto solamente es un ejemplo de la serie de amenazas que se deben observar para poder tomar control de la seguridad de la información, pero las mejores prácticas como las que sugiere la norma ISO/IEC 27000:2005, la Gestión de Riesgos, la Continuidad del Negocio, ISO 31000, ISO 27005, entre otras, pueden apoyar a las organizaciones a lograr, según sus necesidades, una mayor seguridad de su información, y garantizar su integridad, confiabilidad y disponibilidad.

Normalmente una organización cuida o toma en cuenta la seguridad de su información por dos motivos: porque verdaderamente tiene algo muy delicado e indispensable que cuidar o porque ya fue víctima de un evento que le impactó negativamente. Es típico que las organizaciones decidan invertir en desarrollar una cultura seria sobre la seguridad de la información cuando vivieron la segunda circunstancia. Así que la mayor recomendación es evitar una mala y costosa experiencia, pues sea cual sea el negocio en casi el 100% de los casos se gestiona información importante y sensible que sin duda es indispensable que sea cuidada.

Annabel Soriano Licenciatura en Administración y Maestría en Comunicación de las Organizaciones por la Universidad Latinoamericana. Es Auditora Líder Certificada en los estándares ISO 27001:2005 e ISO 9001:2000. Tiene experiencia en la implementación de SGSI, SGCN y SGC en el sector público y privado. Es integrantes del Subcomité de TI del Comité Técnico Nacional de Normalización de Electrónica y Tecnologías de la Información y Comunicación – COTENNETIC (Normas ISO 20000 e ISO 27000). Actualmente es Consultora e Instructora en Inteli para las normas ISO 27001, ISO 20000, ISO 22301, entre otras especialidades.

 

21/11/2012