Per Eliud Elizondo Moya
El nivell de consciència sobre seguretat de la informació en les organitzacions és més elevat que mai. Sembla, però, que no és possible mantenir la suficient atenció per avançar a l’una de les noves tecnologies i les amenaces, de manera que es pot posar en risc l’actiu més important de les empreses: la informació.
el primer que cal preguntar-nos sobre la forma en què protegim els nostres actius més preuats: ¿estem orientant la seguretat de la informació cap al camí correcte?
Respondre de forma honesta aquesta pregunta i fer una anàlisi a l’respecte ens ajudarà a identificar elements fonamentals que s’han de considerar en una estratègia corporativa de seguretat, per aconseguir que aquesta sigui capaç de brindar un benefici real a l’organització i que no sigui vista com una despesa innecessària, exclusiu de les àrees de Tecnologies d’Informació (TI).
per tal d’afrontar aquesta interrogant, hem d’ampliar la nostra visió per descobrir que la seguretat de la informació no s an sols depèn de les àrees TI o d’un grup selecte de persones dins de la institució, sinó que es troba en cada component de l’negoci.
Per obtenir aquest enfocament cal analitzar tres grans temes, els quals hem de considerar com a part d’una estratègia corporativa:
Un programa de gestió de seguretat de la informació
Aquest ha de comptar amb el patrocini de l’alta direcció, per tal de poder representar i respondre a tot el negoci. Recordem que busquem una gestió adequada de la seguretat dels actius d’informació i aquests no només es troben en sistemes informàtics, sinó que hem de preocupar també pels espais físics de tota l’organització.
Un adequat programa de gestió de seguretat ha d’estar alineat amb l’estratègia corporativa, la qual cosa converteix la seguretat en un habilitador de negoci i en un element per aconseguir que els riscos es transformin en oportunitats. L’anterior pot aconseguir-se a l’definir una estratègia i un pla de maduresa, a través d’l’anàlisi de riscos de seguretat en els processos de negoci, la qual cosa permet identificar les fortaleses, debilitats i requeriments en aquests.
A més, és una excel·lent activitat per augmentar la consciència en els líders de les diferents àrees de l’empresa sobre els riscos existents i les cures que han de tenir amb la informació que custodien.
Només cal considerar que les fortaleses, riscos i requeriments de seguretat en cada procés han de ser identificats i detallats pels líders i responsables de dur-los a terme. Les àrees de TI i Seguretat de la Informació únicament poden exercir com a moderadors de l’activitat.
En aquest programa de gestió també s’inclouen temes com:
· Model i govern de seguretat
· Continuïtat de l’negoci (BCP / DRP)
· Anàlisi i administració de riscos
· Capacitació i conscienciació
· Mètriques i informes de seguretat
Administració d’amenaces i vulnerabilitats
la seguretat inclou la gent, els processos i la tecnologia. Cal destacar que aquest últim punt juga un paper molt important a causa de la gran quantitat d’informació de negoci que es troba protegida en els sistemes informàtics, la qual es transmet a través d’Internet utilitzant solucions al Núvol, els llocs web de l’organització o el correu electrònic. En moltes ocasions, aquest contingut no es transmet a través de mitjans fiables i segurs, de manera que podria ser interceptat o fins i tot alterat durant el seu enviament.
Seguint la construcció de el trencaclosques d’una estratègia corporativa de seguretat, hem de conèixer les nostres fortaleses, identificar les amenaces tecnològiques i atendre els riscos a què el negoci està exposat. Això s’aconsegueix a l’realitzar avaluacions tècniques en la infraestructura de TI i els sistemes informàtics.
És recomanable que aquesta activitat no es realitzi només executant una simple eina, sinó que es s’involucrin professionals experimentats en la matèria perquè coordinin els esforços i identifiquin les rutes que algú malintencionat podria prendre, amb l’objectiu de robar o alterar la informació de l’negoci.
Resulta increïble com, avui dia, moltes organitzacions estan exposades al fet que un individu, en menys de 5 minuts, suplanti la identitat de qualsevol empleat, incloent-hi els membres directius , a través del correu electrònic. Aquesta situació és molt difícil perquè una eina pugui identificar-la clarament; però, una persona amb coneixements molt bàsics de hackeig (comunament anomenat Script Kiddie), pot realitzar-lo de forma senzilla quan no existeixen els controls adequats.
Cal considerar que encara que aquestes activitats són tècniques, hem de presentar les fortaleses, riscos i amenaces als nivells directius en un llenguatge de negocis, amb la qual cosa es pot percebre com es pot veure afectada l’organització al no atendre aquests riscos i amenaces. Exemples d’això són el mal a la imatge, sancions de l’autoritat per incompliment, robatori de diners a través de el procés de comptes per pagar, etcètera.
Una adequada administració d’amenaces i vulnerabilitats ha d’incloure:
· Proves de hackeig ètic
· Avaluació de l’arquitectura tecnològica
· Anàlisi de seguretat en aplicacions i mòbils
· seguretat en el cicle de vida de desenvolupament de sistemes informàtics
· Anàlisi de seguretat en el Núvol
Protecció de dades, privacitat i compliment
Des que es va publicar la Llei Federal de Protecció de dades personals en Possessió dels particulars, un sens fi d’empreses -independentment del seu gir o sector- han portat a terme diagnòstics de compliment i millores en els processos que requereixen algun tractament o maneig de dades personals ; tot això amb la finalitat d’efectuar els ordenaments de la dita llei.
És molt important formalitzar el que estableixen aquesta i altres lleis o reglaments que procuren la protecció i privacitat de qualsevol dada que estigui en mans de les empreses; però, és molt comú observar la separació entre els esforços que es realitzen per protegir la informació crítica de l’negoci i les dades que han resguardar per obligació d’alguna llei o norma.
Només cal considerar que les fortaleses, riscos i requeriments de seguretat en cada procés de negoci han de ser identificats i detallats pels líders i responsables de dur-los a terme.
No hem aïllar el tema de la seguretat de la informació; cal buscar l’alineació de l’estratègia, els processos, el pla de maduresa i el model de seguretat amb aquells elements que requereix complir l’organització, sobretot els relacionats amb la protecció i privacitat de dades.
A més de l’acompliment, hi ha altres factors que és important considerar durant la protecció i privacitat de dades:
· Un govern de dades.
· El pla de protecció, inclòs en l’estratègia corporativa de seguretat de la informació.
· el programa per a la prevenció de fuga.
Finalment, cal reflexionar sobre el camí que està prenent la seguretat de la informació dins de l’organització i començar a treballar en conjunt amb totes les àrees, per definir i executar una estratègia que sigui un habilitador més per al compliment dels objectius i, per descomptat, per protegir aquest vital actiu: la informació.