Gestión de seguridad

Los ataques e incidentes de seguridad de la información no sólo ocurren en instituciones relacionadas con los sectores de seguridad nacional, financieros, productivos o de infraestructuras críticas. Las entidades académicas también se han convertido en blancos de éstos, como lo reporta el informe de la OEA (OEA y Symantec, 2014) en donde presentan que, en México, las entidades de ámbito académico son las más afectadas, con un 39% de delitos informáticos reportados al CERT-MX.

Lo más complicado al momento de integrar temas relacionados con la seguridad de la información a la organización es que, generalmente, no se enfocan en las necesidades de negocio y sus intereses. Por esta razón revisaremos cuáles son los aspectos fundamentales que no deberíamos pasar por alto.

Atender a la seguridad se percibe como una carga extra tanto para usuarios como para administradores de sistemas. Es trabajo que probablemente no estaba contemplado y que es resultado de varias situaciones, aquí muestro algunos posibles escenarios:

La asignación de recursos para crear un nuevo cargo o área que sea responsable de la gestión de la seguridad de la información es un reto que implica demostrar que la seguridad no es un gasto, por el contrario, es una inversión que genera valor al negocio, controla y previene diversos tipos de riesgos. También se requiere utilizar otros argumentos convincentes que permitan lograr el apoyo y compromiso de la dirección. Sin embargo, la historia no termina ahí, uno de los temas que la mayor parte de las empresas pasan de forma desapercibida es definir dónde estará ubicado este nuevo cargo o área dentro del organigrama o estructura de la organización.

Este último artículo aborda la estructura que puede tener una política, así como los elementos de importancia considerados para el éxito en implantar y aplicar políticas de seguridad de la información en una organización.

Es sorprendente ver cómo la tecnología de la información se incorpora cada vez más a nuestras vidas, en las organizaciones, el nivel de interacción ha aumentado radicalmente la facilidad de acceso a las redes con múltiples dispositivos que, además, son multifuncionales. A la hora de asegurar la información, toda esta situación genera grandes dificultades y desafíos. En la medida que los servicios de TI y los dispositivos se hacen más baratos, cercanos, difundidos y omnipresentes, la carencia o mal funcionamiento de alguno de ellos provoca impactos más altos y masivos.

Para que una nave navegue y llegue a buen puerto tras una travesía, lo primero que hay que hacer antes de zarpar, es poner en orden los aparejos, la arboladura, la jarcia, dar el adecuado mantenimiento a las máquinas y limpiar la cubierta de todo aquello que obstaculice el paso a la marinería y que impida la buena ejecución de las maniobras durante el recorrido.

Las organizaciones hacen uso de tecnologías de la información para su operación diaria. Sin embargo, existen riesgos inherentes a ellas, es decir, la posibilidad de que una debilidad sea aprovechada por una amenaza y sus consecuencias: divulgación, modificación, pérdida o interrupción de información sensible. Las políticas de seguridad surgen como una herramienta para ayudar en el proceso de concientización de los miembros de una organización, sobre la importancia y sensibilidad de la información, además de ofrecer un marco normativo para el uso adecuado de la infraestructura de TI.