REVISTA .SEGURIDAD | 1 251 478, 1 251 477 | REVISTA BIMESTRAL

¿Es la seguridad de la información un freno o un facilitador de la expansión del negocio?

seguridad de la información

En la mayoría de las organizaciones y empresas públicas y privadas, se tiene la idea de que la Seguridad de la Información, más que una facilitadora del negocio, es un obstáculo que impide la agilidad y el dinamismo necesarios para abarcar nuevos retos, evolucionar y expandir la compañía.

Un error muy extendido es considerar que el departamento de Seguridad de la Información garantiza la salvaguarda de los activos críticos de la organización. La realidad es que el departamento de Seguridad de la Información facilita la metodología y tecnología necesarias para procurar que los activos de información estén lo más protegidos posible, y que permanezcan controlados dentro de un marco de referencia. El departamento de Seguridad de la Información, o ISM, debe trabajar de la mano con el departamento de Seguridad Física de la empresa u organismo. Si los dos departamentos laboran sin una cabeza directriz conjunta, llevarán a la empresa a situaciones muy complicadas y absurdas de “neomanagement”.

Al no haber una cultura empresarial establecida y bien referenciada, en donde los trabajadores y ejecutivos de todos los niveles de la organización entiendan y comprendan las ventajas competitivas de contar con unas políticas de seguridad de la información, será muy complicado permear estas ventajas a todos los niveles organizativos. Las políticas deben ser claras e incluir lo necesario para garantizar la clasificación de la información y el manejo que se le debe dar desde su creación, clasificación, almacenamiento y destrucción.

Un gran obstáculo, que los profesionales de seguridad de la información encuentran a diario, es no saber cómo vender a la alta dirección la seguridad de la información ni su impacto en los resultados globales del negocio. Otro obstáculo, que las grandes empresas encuentran, es la teórica duplicidad de los departamentos de Seguridad de la Información (uno que depende del área de Seguridad Central y el otro de Informática).

El departamento de Informática, TI o IT, debe contar con sus propios auditores internos para verificar que los parches estén instalados, el antivirus esté funcionando correctamente, se cumplan las políticas dictadas por el departamento de Seguridad de la Información Central, etc. Con el fin de que, cuando se hagan auditorías independientes por parte de auditores externos, todo esté más o menos en orden. En cuanto al departamento de Seguridad de la Información Central, éste es el encargado de revisar y auditar de manera totalmente independiente que todo en TI se haga correctamente y que se cumplan las políticas de securización de la información, generar políticas, etc. Ambos departamentos deben ser independientes. Como en el caso del departamento de Control Interno y el departamento financiero, si ambos se encontraran juntos y fuesen dependientes, nunca se llegarían a descubrir los fraudes internos. Por eso insisto que el departamento de Seguridad de la Información Central o Corporativo debe ser completamente independiente del equipo de revisión o ISM que pertenezca a TI.

En muchas empresas, se considera que el Departamento de Seguridad de la Información es un mal necesario, en vez de un factor crítico que ayuda a la continuidad del negocio en caso de padecer un incidente. En otras organizaciones, se considera al departamento de Seguridad de la Información como un freno o escollo insalvable que limita los márgenes operativos y resta agilidad de expansión del negocio, en vez de considerar a dicho departamento como un facilitador de las decisiones futuras o frente a incidentes.

La seguridad de la información debe considerarse como un factor estratégico, crítico y necesario para procurar la continuidad del negocio. Además, tiene que ser vista como facilitadora de los planes futuros de expansión de las compañías que se precien de tener un “management” de primer nivel y de alta competitividad. Incluso hace frente, de manera rápida y ágil, a cualquier incidente que ponga en riesgo la integridad de la información.

Supongamos que la empresa es como un lujoso y costoso auto deportivo de carreras. Este coche pertenece a un fabricante de prestigio (imagen de la marca), tiene unos bonitos colores en su carrocería (Departamento de Imagen y Comunicación), cuenta con unos logotipos sobre la bonita pintura (Consejo de Accionistas), un buen piloto (Dirección General), un favorable equipo de mecánicos (Departamento de Ingeniería), un buen equipo de iluminación (Inteligencia Estratégica), un motor poderoso (Departamento de Operaciones), unos excelentes neumáticos (Departamento Comercial), etc. El sistema de frenos de este vehículo de carreras vendría a ser nuestro Departamento de Seguridad de la Información. La pista de carreras sería el mercado en donde nuestra compañía tendría que debatirse con sus competidores por agarrar más cuota de mercado en el menor número de tiempo, justificando ante su público (clientes) el prestigio de la marca del equipo de carreras (empresa).

Para que nuestro impresionante vehículo de carreras pueda dar el 100% de rendimiento en este circuito, se debe de contar con la más alta tecnología en su sistema de frenado, con el fin de poder circular a la máxima velocidad, con la confianza y tranquilidad de que, cuando se precise hacer frenadas muy apretadas, los frenos no van a fallar y el vehículo no se estrellará (parada de operación irreversible). De esa manera se evita que el accidente sea publicado en toda la prensa y que impacte en la imagen estratégica de la compañía, con la consiguiente pérdida de credibilidad en el mercado. En cambio, si nuestro sistema de frenado es mediocre y poco fiable, cuando busquemos ir a altas velocidades (cambios estratégicos), por mucho que deseemos ir rápido, nuestros frenos serán un condicionante muy fuerte a la hora de ir a alta velocidad. En caso de necesidad, no tendremos la garantía de ejecución precisa del frenado y, por tanto, el fantasma del accidente nos perseguirá durante la carrera (miedo al fracaso comercial).

Para ir a alta velocidad y estar seguros de ser los mejores en la carrera, se deberá contar con la más alta tecnología en el sistema de frenos, lo que nos permita abordar cambios en el circuito (condiciones de mercado) e imprevistos en las condiciones del pavimento (cambios en las estrategias) sin que nuestro vehículo pierda el control de su trayectoria (planes para afrontar contingencias). Por lo que un buen sistema de frenado (buen departamento de Seguridad de la Información) es básico y fundamental para  afrontar nuevos retos estratégicos del negocio.

Queda claro que poseer un excelente sistema de frenos en un vehículo de carreras no significa, en ningún momento, que dicho sistema vaya a ser un estorbo o un obstáculo, ni que ese sistema entorpezca la velocidad punta del auto de carreras. Todo lo contrario, un buen sistema de frenado, eficiente y de alta tecnología, permitirá al vehículo desarrollar su máxima velocidad para ser competitivo durante todo el transcurso de la carrera, permitiendo al auto, en caso de ser necesario, reducir la marcha de manera muy segura, tanto para el piloto como para el auto, a fin de adaptar el vehículo a las necesidades o imprevistos durante su evolución en el circuito.

¿Cómo trabaja en el vehículo el sistema de frenado?

Cuando una empresa analiza cómo ser competitiva frente a un mercado muy agresivo y cambiante, en la mayoría de las ocasiones, pasa por alto casi todo lo relativo al manejo de la información de manera segura y eficiente. En las empresas, los directivos suelen divagar sobre estas cuestiones, sin tener muy claro cómo manejar la información de forma segura. Otro error de percepción, muy común, es que los directivos suelen pensar que el departamento de Seguridad de la Información va a resolver todos los errores cometidos en el manejo de la información y que, para eso, se precisan costosas cajas negras, cuya ingeniería computacional es eficiente al 100% y resuelve todos los problemas habidos y por haber.

Volviendo a nuestro ejemplo: Si el piloto del auto de carreras (Dirección General) comete errores en la trayectoria del circuito (estrategias fallidas de mercado), obviamente, por mucha complejidad tecnológica que se posea, no habrá ningún sistema de frenos que tenga y que pueda corregir estos errores de manejo de la trayectoria del auto. Los frenos están para lo que están y no para corregir errores de pilotaje. El departamento de Seguridad de la Información no está para corregir los errores cometidos por la dirección de la empresa. Tampoco el departamento de Seguridad está para “tapar” los errores e ineficiencias (y hechos delictivos) que podrían cometer los directivos de alto nivel. Para estos asuntos delicados, contar con una política clara de consecuencias frente a cierto tipo de malas actuaciones y prácticas, es más que suficiente para poner en orden las cosas.

Toda la compañía debe tener conciencia de cómo manejar su información. Desde los puestos más modestos hasta los directivos de primer nivel.

Para ello, el Departamento de Seguridad de la Información debe haber realizado, entre sus muchos cometidos, un buen programa de formación en prevención de fuga de información, el cual deben recibir todos sus trabajadores, sin excepción. Esto ayudará, entre otras situaciones críticas, a evitar robos de laptops o smartphones en lugares públicos, a que los directivos no hablen de planes estratégicos en lugares públicos de manera que puedan ser escuchados por competidores. Ayudará a hacer respaldos periódicos de la información sensible, a prevenir, en suma, que la información crítica y estratégica para la organización caiga en malas manos o sea usada en contra de la propia empresa, además de prevenir el fraude interno o externo, utilizando para ello, metodologías forenses y preventivas.

Una cita, a la que suelo recurrir en una conferencia, cuando tengo que explicar la problemática de confiar la Seguridad de la Información en electrónicas automáticas, es la siguiente:

Si usted piensa que la tecnología puede resolver sus problemas de seguridad, entonces usted no entiende los problemas de seguridad y tampoco entiende la tecnología. Dicha cita es nombrada por el archiconocido experto de Seguridad y contemporáneo mío, Bruce Schneier.[1]

El departamento de Seguridad de la Información, conjuntamente con el departamento de Seguridad Física, deberá anticiparse muchas veces a las intenciones corporativas de nuevas decisiones estratégicas de la compañía, con el fin de resolver, anticipadamente, muchos de los problemas que se pueden plantear en caso de incidentes o de problemas no previstos por la dirección. Por ejemplo, si la empresa desea hacer una fusión por adquisición de una empresa hermana en un país, supongamos del tercer mundo, dicho departamento de seguridad tendrá que establecer alianzas estratégicas con embajadas, consulados, autoridades locales, etc., deberá contactar con proveedores locales de tecnología, deberá estudiar el país en lo referido a su mapa de riesgos, entro otros.

Con el fin de poder plantear un plan estratégico de salvaguarda de la información, se deberá confeccionar una matriz de riesgos de ese país o de ese negocio, para la realización de un plan director que abarque aspectos tan diversos, como los factores de riesgo (qué tipo de proveedores de servicios existen, proveedores de telefonía, factores climatológicos, factores sociopolíticos, factores sismológicos, qué políticas existen en la empresa para prevenir la fuga de información, nivel de riesgo de espionaje industrial, etc.)

Así pues, para que una empresa tenga una rápida implantación en un país y pueda ir a la velocidad deseada, sintiéndose segura de los pasos que debe dar, el departamento de Seguridad de la Información debe de ser capaz de actuar en múltiples frentes simultáneamente, y además, de manera rápida y eficiente. Por ejemplo, para evitar la fuga de información estratégica, la empresa debe contar con un sistema de control de acceso físico y lógico eficaz. Hay que saber quién entra, cuándo entra a nivel personal y a dónde se firma en la red (qué tipo de accesos asignados debe tener). Se debe contar con un plan de recuperación frente a desastres naturales, atentados, etc. Por eso es tan importante disponer de una matriz de riesgos realizada de manera granular. De esta forma, cuando la empresa necesite “meter el freno”, logre la tranquilidad y la seguridad de que todo va a funcionar correctamente y sin contratiempos, según el plan de contingencia previamente realizado y documentado. Como en el caso de un corte de energía eléctrica (intencional o fortuito) se deben tener previstas las diferentes opciones a seguir para solventar esta eventualidad.

Hace unos años, en España, fue muy comentado el caso del incendio y destrucción total del famosísimo edificio Torre Windsor en Madrid (España), en el que se hallaban ubicadas dos famosas consultoras. En unos pocos días, las dos estaban operativas al 100%, trabajando desde sus casas o en salones rentados en hoteles y en otras oficinas. En ambas compañías, se dijo que la información de sus clientes estaba respaldada por completo, pero el incendio provocó la pérdida de los soportes documentales de una auditoría realizada por Deloitte al Grupo FG, los cuales habían sido solicitados por la Fiscalía Anticorrupción del Gobierno de España, un día antes del siniestro. El bufete de abogados y consultores Garrigues tenía su respaldo de información en el edificio IBM. Eso le permitió, casi a los dos días, estar de nuevo operativos al 100%. Las causas de este siniestro siguen siendo material de inspiración para películas de espionajes, chantajes, corrupción política, etc. Y también sirven de modelo para no repetir errores que costaron mucho tiempo y esfuerzo: lavar la credibilidad de Deloitte en España.

Para terminar esta nueva singladura por el espinoso mundo de la Seguridad de la Información: ¿Cómo consideran en su empresa al departamento de Seguridad de la Información: Una inversión en tranquilidad o un gasto? Esa es la diferencia entre una empresa líder y otra que aspira a serlo.

Más información:

http://miliarium.com/Monografias/Rascacielos/CronologiaFuego.htm

http://www.wharton.universia.net/index.cfm?fa=viewArticle&ID=928

http://firestation.wordpress.com/category/siniestros-importantes/incendio-del-windsor/

 

 


[1] SCHNEIER, Bruce, “Secrets & lies,” Digital Security in a networked world, John Wiley & Sons Inc, 2004.

 

UNAM

[ CONTACTO ]

Se prohíbe la reproducción total o parcial
de los artículos sin la autorización por escrito de los autores

 

Hecho en México, Universidad Nacional Autónoma de México (UNAM) © Todos los derechos reservados 2017.