La forma en que los usuarios intercambiamos información, sea personal o laboral, ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevándola a ser parte fundamental para garantizar el cumplimiento de los objetivos de negocio.
Lo más complicado al momento de integrar temas relacionados con la seguridad de la información a la organización es que, generalmente, no se enfocan en las necesidades de negocio y sus intereses. Por esta razón revisaremos cuáles son los aspectos fundamentales que no deberíamos pasar por alto.
¿Qué debemos garantizar con nuestro Sistema de Gestión de Seguridad de la Información (SGSI)?
Lo primero es alinear la estrategia de seguridad con los objetivos del negocio, sucede al garantizar la protección de los sistemas y la información usada en los procesos.
Clásicamente se ha hablado de que un sistema de gestión de la seguridad debe garantizar en la información tres características: la integridad, la disponibilidad y la confidencialidad. Si bien estas tres características son fundamentales, hay otras tres que dado el crecimiento en el uso de la información y los nuevos tipos de ataques, no deben dejarse de lado: la verificación del origen de los datos, la utilidad de los datos y el control de la información, este último enfocado a que la información no pueda ser revelada en caso de pérdida.
Procurar estas características debería ser el resumen de un modelo de gestión de la seguridad. Para lograrlo hay que apoyarse en algunos instrumentos como la política de seguridad, la identificación de activos y el análisis de riesgos, éstos deberían ser independientes a buscar certificaciones en alguna normativa.
La piedra angular: política de seguridad
La política de seguridad debe convertirse en el punto de unión del negocio con los intereses de la seguridad de la información. Se logra a través del establecimiento de objetivos de seguridad, que no son más que la manifestación de las necesidades técnicas que debe satisfacer la información para garantizar el cumplimiento de los objetivos de negocio.
La política de seguridad debe darse a conocer a todos los niveles de la organización para garantizar que todos los empleados sepan cuál es la información crítica del negocio y cuáles son las características principales que le deben ser garantizadas. De esta forma, quien lea la política deberá tener claro cuáles son los límites que tiene con respecto a la seguridad de la información.
Clasificar la información corporativa
Con la clasificación de la información se pueden priorizar y enfocar las acciones en materia de la gestión de la seguridad. La clasificación depende de la naturaleza del negocio pero en general deberían incluirse tres niveles: información pública, incluye todos los datos de dominio público. Ya que es información a la que pueden acceder los clientes y proveedores, sus características principales deben ser la precisión y la disponibilidad. En el siguiente nivel está la información de uso interno, comprende toda la información que se intercambia al interior de la empresa y entre los empleados, es la columna vertebral de las operaciones del negocio, por lo tanto las características que le aplican son la disponibilidad y la integridad. En el último nivel está la información de acceso restringido, está muy relacionada con el tipo de actividad que puede incluir, por ejemplo los planes de negocio, información de nuevos productos, resultados de investigaciones o nuevas estrategias de mercado. La principal característica de este tipo de información es su confidencialidad.
Al clasificar la información, la empresa tiene un panorama más claro de cuáles son los aspectos en los que debe enfocar su gestión. De esta forma se pueden identificar cuáles son los riesgos más relevantes dentro del SGSI y por tanto, determinar los controles más apropiados y acordes a la realidad de la empresa.
Qué hacer y dónde enfocar esfuerzos: Análisis de riesgos
Es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar esas vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las acciones preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.
La identificación de controles es fundamental para permitir el análisis de riesgos, ya sea para mitigar la posibilidad de que ocurra la amenaza o para mitigar su impacto. Las medidas de control que puede asumir una empresa estarán relacionadas con el tipo de amenaza y el nivel de exposición que represente para la información corporativa.
Lo que no se puede olvidar
Es muy importante no perder de vista que, cuando se refiere a seguridad de la información, no solamente se habla de garantizar la seguridad con equipos y aplicaciones, aún siendo una parte fundamental y prioritaria; sino que el panorama se extiende para incluir al recurso humano y a políticas claras que dirijan el accionar del sistema.
Finalmente, la gestión de la seguridad debe existir para soportar las operaciones del negocio y no para convertirse en parte de los objetivos. En otras palabras, a partir de la definición de su misión y su visión, una empresa debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia, definir el sistema que garantice la seguridad de la información que le permita alcanzarlos.
Si quieres saber más consulta: