Cuando el centro de Cálculo de Iberia sufrió no hace mucho un incendio , recordamos el caos en los aeropuertos para organizar el flujo de pasajeros. Cuando un fallo en el software de Amena, dejó, recientemente, durante un día buena parte del país sin comunicaciones, nos damos cuenta de la importancia que tiene la seguridad de los datos en los procesos de gestión de las empresas.
Si muchos de nosotros sufrimos en mayor o en menor medida alguno de los hechos referenciados con anterioridad, seguro que todos tenemos imborrables en nuestras mentes los hechos ocurridos el 11 de Septiembre de 2001. En esta fecha temblaron muchos de los pilares de la sociedad occidental y cobró vida propia un factor hasta entonces olvidado por mucho de nosotros: La seguridad.
La seguridad, o aquellas practicas que intenten garantizarla se han convertido desde entonces en parte de nuestras vidas. Ya ha nadie le extraña que se registre en profundidad su equipaje, pasar por todo tipo de detectores antes de iniciar un vuelo o hasta incluso ser cacheado por un agente en un aeropuerto, es más, esto nos infunde confianza, “nos sentimos bien si estamos seguros”.
Es cierto, cada vez demandamos más seguridad en todos los ámbitos de nuestra vida cotidiana. A la hora de realizar un vuelo, a la hora realizar una compra por Internet, a la hora de salir de vacaciones, etc. Pero, ¿cómo podemos hacer seguras nuestras organizaciones?
A finales del siglo pasado, el concepto de calidad irrumpió con fuerza dentro de nuestras organizaciones. Si hubiéramos preguntado a cualquier director general a mediados de los ochenta que le estaba pidiendo el mercado, este nos hubiera contestado cosas como “productos y/o servicios de probada calidad”. La calidad pasó a formar parte de todos nuestros procesos de negocio focalizando estos a conseguir el aseguramiento de la misma. Hoy en día, ya nadie pone en duda que la calidad tiene que formar parte de todos y cada uno de los procesos de nuestras organizaciones, y que además que la calidad hay que planificarla, referenciarla a un modelo y auditarla.
Pero, el escenario ha cambiado. Hoy la calidad se percibe como un valor intrínseco en nuestras organizaciones, y no así la seguridad. La clave es, ¿como adaptar nuestras organizaciones para que sean seguras, como planificar, referenciar y auditar la seguridad?
Ya en el siglo XXI, dentro de eso que algunos han dado en llamar “sociedad del conocimiento” y que hace estratégico aprovechar el potencial de la economía conectada y las organizaciones en red, podemos encontrar algunas aseveraciones que caen como meteoritos sobre los cimientos de nuestras organizaciones: “•El 90% de las compañías han detectado alguna intrusión en su seguridad en los últimos 12 meses.
•El 80% reconocieron pérdidas financieras a causa de estas intrusiones.•Las dos causas fundamentales de estas pérdidas: Robo de información confidencial y fraude financiero. • Alrededor del 80% de los incidentes de seguridad de la información su origen es interno.
•Que el 78% de las empresas han detectado abuso de los sistemas por parte de los empleados. Fuente FBI/CSI 2002. •Que el 70% de las empresas han detectado uso no autorizado de los sistemas. Fuente FBI/CSI 2002. •Que el 89% de las empresas identifican a los empleados descontentos como fuente de ataques a sus sistemas. Fuente FBI/CSI 2002. •Que el 20% de las empresas declaran haber sufrido robo de información relevante (Fuente: Informe CSI / FBI 2002)” A la vista de lo anterior, y en el ámbito de la dirección general donde se entremezclan aspectos como garantizar la continuidad del negocio, proteger la información confidencial y estratégica, y mantener la confianza de clientes y Partners, parece necesario afrontar actuaciones en materia de seguridad desde una visión completa, coherente, pragmática y efectiva alineada con la estrategia de negocio, de control interno y de las tecnologías de la Información.
Estas actuaciones en materia de seguridad no deben de realizarse de forma fragmentada y reactiva, sino que se hace necesario implicar y concienciar a toda la organización, implantando una cultura de la seguridad en todos los ámbitos y niveles de la empresa, fundamentada en la formalización de procesos de control y de gestión de los mecanismos de salvaguarda definidos en la política de seguridad que garanticen una revisión y mejora continua.
Exactamente igual que en el siglo pasado implementamos la calidad en todos nuestros procesos de negocio, hoy tenemos que hacer lo mismo con la seguridad en todos los ámbitos de la empresa.
En el ámbito estratégico definiremos cual va ha ser la política se seguridad de la información que queremos para nuestra organización, incorporando esta variable al análisis estratégico de nuestra compañía.En el ámbito táctico-Operativo definiremos cual será la organización y como impacta el concepto de seguridad sobre la misma, actuando sobre guías, procedimientos, planes de seguridad, etc.
En el entono tecnológico actuando sobre nuestros sistemas TIC (Tecnología de la Información y Comunicaciones) como eje principal de nuestros planes de sistemas, planes de desarrollo, planes de contingencia, etc. Así mismo actuaremos también sobre todas las infraestructuras de sistemas y comunicaciones definiendo equipo y sistemas físicos.
En el de RRHH actuando sobre la comunicación, formación, normas y régimen disciplinario.
Es decir, llevar la seguridad a nuestras organizaciones exige revisar e implantar mecanismos organizativos y técnicos a todos los niveles y para todos los elementos comprometidos que soportan los procesos de información.
Todo esto pasa del aspecto teórico al práctico en tanto y cuanto seamos capaces de referenciarlo a un modelo y auditarlo. En este contexto, cobra sentido el modelo basado en la ISO17799, estándar reconocido internacionalmente creado a partir de las mejores practicas en gestión de la seguridad de la información.
Este estancar establece 10 arreas de actuación, definiendo para cada una de ellas un conjunto de controles, cuya obligatoriedad debe ser evaluada en función de un análisis de riesgo y vulnerabilidad, del marco legal y normativo aplicable y de los propios requerimientos del negocio. Los contenidos de dicha norma, establecidos en diez apartados, son los siguientes:
1.- POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN. Establecer un documento escrito, aprobado y difundido bajo revisiones periódicas que proporcione una orientación a la gestión de la seguridad de la información.
2.- ORGANIZACIÓN DE LA SEGURIDAD. Gestionar la seguridad de las organizaciones mediante un comité de gestión de la seguridad, la asignación de las responsabilidades, la cooperación y la revisión. También tendremos en cuenta la seguridad de acceso a terceras partes identificando riesgos y requisitos, incluyendo los contratos de Outsourcing.
3.- CLASIFICACION Y CONTROL DE ACTIVOS. Se trata de dar la adecuada protección a los activos de la organización, identificándolos, valorándoles y clasificándolos. 4.- PLAN DE CONTINUIDAD DE NEGOCIO. Disponer de un plan que nos permita contrarrestar posibles interrupciones de los sistemas actuando sobre aquellos procesos de negocio críticos para nuestra organización.
5.- SEGURIDAD FÍSICA Y DEL ENTORNO. Prevenir accesos no autorizados, daño o manipulación mediante la creación de áreas seguras, proteger el equipamiento y controles generales.
6.- CONTROL DE ACCESO A LOS SISTEMAS. Controlar el acceso a la información, quien puede acceder y como debe de acceder, prevenir accesos no deseados mediante un control y una política establecida para la gestión de accesos a los sistemas de usuarios y extraños a la compañía.
7.- SEGURIDAD RELACIONADA CON EL PERSONAL. Se trata de reducir los riesgos ligados al error humano mediante una correcta definición de puestos y responsabilidades, una sólida formación en seguridad y una definición de respuestas ante incidentes.
8.- ADMINISTRACIÓN DE SISTEMAS, COMUNICACIONES Y OPERACIONES. Asegurar la correcta y segura explotación del sistema TI, minimizando errores, maximizando disponibilidad mediante la protección de datos y la prevención de daños, estableciendo procedimientos operativos y responsabilidades: protección a software malicioso, gestión de red, procedimientos para acceder a la información, procedimientos para el intercambio de información, etc.
9.- ADQUISICIÓN, MANTENIMIENTO Y DESARROLLO DE SISTEMAS. Mantener la seguridad del software aplicativo y la información mediante la identificación de requisitos, uso de criptografías y un control sobre los cambios efectuados en cualquier sistema.
10.- CONFORMIDAD Y CUMPLIMIENTO DEL MARCO LEGAL, NORMATIVO Y CONTRACTUAL. Evitar lagunas legales. Para ello hay que identificar la normativa aplicable, tener una protección de datos sobre todo de carácter personal. Establecer auditorias periódicas.
Entre Los objetivos de la aplicación de esta norma en seguridad de la información, aparecen cinco conceptos clave:
Disponibilidad de la información, previniendo los sistemas de información frente a errores, errores y catástrofes que imposibiliten su acceso o uso, asegurando así mismo la recuperación de dicha información en caso de perdida o deterioro.
Confidencialidad dando acceso a los activos de la información exclusivamente a las personas autorizadas.
Integridad, evitando el mal uso y/o abuso, pérdida o alteración de la información, de los algoritmos y de sistemas de procesamiento de forma fraudulenta
Autenticidad, garantizando la autenticación del emisor y receptor de la información, de la información y de los algoritmos y sistemas de procesamiento.
No repudio, impidiendo la negación del envío, recepción o acción sobre la información.
La utilización de un modelo como el ISO 17799 nos permite la obtención del certificado emitido por la entidad certificadora correspondiente (AENOR ha manifestado su intención de poder emitir certificados para finales del año en curso), por lo que podemos referenciar y auditar la seguridad de los sistemas de información exactamente igual que referenciamos y auditamos nuestros sistemas de calidad.
Si bien este aspecto es muy importante, no menos lo es el hecho de que con la aplicación del modelo ISO 17799 podemos como máximos responsable de una organización:
Establecer objetivos de seguridad de información concretos y formalizados.
Proteger, inventariar y catalogar los activos de información de nuestra organización
Evaluar nuestros riesgos con el objetivo de mitigarlos o asumirlos.
Establecer niveles de seguridad y umbrales de riesgo aceptables por la organización y definidos en el tiempo.
Organizar y controlar la seguridad de la información
Concienciar y formar a nuestra organización para implicarla.
Establecer un equilibrio entre la inversión y los posibles perjuicios asumible por la organización.
Por el hecho de ser homologable, es comparable (elemento diferenciador) y conforme a la legalidad.
Documentar y registrar las incidencias, mejoras, acciones, etc.
Es auditable y evaluable, permitiéndonos trazabilidad, monitorización, identificación de acciones, etc., permitiéndonos la revisión y prueba periódica (Proceso de mejora continua.)
En plena sociedad del conocimiento, el ejercicio responsable de la actividad empresarial nos obliga a que la seguridad en nuestras organizaciones sea un hecho, pero no algo intangible y desconectado de la estrategia de nuestra organización, sino que podemos tener una organización segura, planificando e integrando esta seguridad con la estrategia de la empresa, referenciada a un modelo internacional que nos aporte un elemento diferenciador.
No hay comentarios:
Publicar un comentario