La información y las tecnologías a través de las que se crea, maneja y transfiere la información son fundamentales. Pese a esa importancia de la información, la realidad es que no hay un grado de concienciación suficiente en las organizaciones para reconocer la información como un activo fundamental. Ni se crea una necesidad de proteger la seguridad de ese activo hasta que tenemos el problema encima.
¿Cuánto tiempo puede funcionar la organización sin que las personas que trabajan en ella puedan acceder a la información?
¿Está la organización preparada para responder a un incidente de seguridad?
La tendencia generalizada es pensar que nunca va ocurrir un incidente de seguridad de manera accidental porque “ya sería mala suerte que esto se quemara o se inundara” y, sobre todo, porque se tiende a subestimar a los usuarios de los sistemas y de los equipos desde los que se trata la información. No se van a robar datos o no se van a borrar por descuido “porque no saben cómo acceder a ellos”. Así que no se establecen medidas para evitar que pase algo.
A alguien le puede parecer exagerado pero no lo es. No es la primera vez que algún trabajador ha instalado una aplicación de descarga de archivos para bajarse películas o música y está compartiendo, accidentalmente, información confidencial de la organización, a través de la aplicación, que no debería compartirse.
Si no resulta suficiente o convincente el argumento de que, proteger la información asegura la continuidad de mi organización, todavía me queda como razón de peso los motivos legales.
Un incidente de seguridad puede provocar una pérdida de datos que infrinja la normativa de protección de datos, por ejemplo. Ya hemos leído más de una vez, en la prensa, que se roban ordenadores en organizaciones. ¿Estaban protegidos esos ordenadores para que no se pudiera extraer información, entre ella, datos de carácter personal de los mismos?
¿Los responsables de las organizaciones están concienciados y han concienciado al personal que trabaja en las mismas, de que no se pueden utilizar los medios informáticos titularidad de la corporación para descargar contenidos de Internet a través de programas de descargas de archivos que puedan infringir los derechos de propiedad intelectual de terceros.
Cuestiones como esas están dentro de un marco de protección de la seguridad de la información y, en definitiva, si falla la seguridad de la información nos estaremos enfrentando, además de a las pérdidas financieras y costes de recuperación, a daños en la imagen de la organización, a denuncias, litigios y multas, a interrupciones de las operaciones, etc.
Por eso es necesario gestionar de manera adecuada la seguridad de la información. Y ¿en qué consiste esa gestión de la seguridad de la información? Fundamentalmente, en garantizar estas tres dimensiones de la seguridad:
- La disponibilidad de la información: asegurar que los sistemas funcionan y que los servicios no son denegados cuando vayan a ser usados.
- La integridad de la información: garantizar que la información está completa y es correcta. Lo cual implica, entre otras cosas, impedir la manipulación de la misma.
- La confidencialidad de la información: garantizar que la información llegue, únicamente, a las personas autorizadas evitando, además, las fugas y filtraciones de la información y los accesos no autorizados.
Esa seguridad tiene que gestionarse de algún modo. Tienen que crearse procedimientos de seguridad, implantarse y debe realizarse un seguimiento continuado de la efectividad de los procedimientos implantados. Ahí es donde entra el concepto del Sistema de Gestión de la Seguridad de la Información (SGSI).
Un SGSI es una herramienta que sirve para proporcionar mecanismos de protección y salvaguarda de la información y de los sistemas que la tratan y procesan de acuerdo con una serie de normas, políticas y procedimientos definidos por la organización.
Existen una serie de normativas para la gestión de la seguridad de la información; la ISO/IEC 27001:2005 es una norma internacional que proporciona un modelo para crear, implantar, mantener y mejorar un SGSI. Y la ISO/IEC 27002 establece un catálogo de controles de seguridad para garantizar la misma. Esta última es una guía de buenas prácticas.
Es decir, la ISO/IEC 27001 define los procesos de la seguridad de la información, “el cómo” para entendernos, y la ISO/IEC 27002 establece los controles de seguridad, “el qué”.
Podemos decir que dichos controles abarcan tres aspectos: jurídicos, tecnológicos y de gestión.
Los aspectos de gestión que recoge la normativa implican, en primer término, la creación de una serie de documentación para regular y formalizar la seguridad de la información en una organización.
La necesidad de proteger la seguridad de la información tiene que surgir desde la dirección o los órganos de gobierno de la propia organización. La concienciación sobre la necesidad de proteger la información, que debe hacerse extensiva a toda la organización, debe partir desde arriba.
Por eso, desde los órganos de gobierno de la entidad se deben establecer y aprobar una serie de políticas, normativas, procedimientos, instrucciones y normas de uso en las que se documente cómo se gestiona la seguridad de la información en la entidad, con carácter general, y para cada uno de los supuestos específicos que lo precisen.
Esas políticas, en la medida en que les afecte, deben darse a conocer al personal que trata la información.
La labor de formación y concienciación del personal está detrás de todo el proceso de implantación de un SGSI, así como el establecimiento de responsabilidades de las personas que tratan con la información y del modo en que deben hacerlo.
Además es necesario el establecimiento de medidas concretas como puede ser la firma de acuerdos de confidencialidad con el personal que trata la información de la entidad, que reflejen las necesidades de la misma para la protección de la información.
La necesidad de seguridad debe calar en las personas que tratan con la información. Y eso se consigue formándoles y dándoles a conocer las normativas e instrucciones definidas por la entidad para el tratamiento de la información.
Es más, es necesario establecer medidas coactivas para que los usuarios de los sistemas no quebranten la seguridad de los mismos. No debemos olvidar que, en la mayoría de los casos, la seguridad se vulnera desde dentro. Casos de trabajadores que, cuando son despedidos y para perjudicar a la empresa, borran una base de datos, “despistes” en el tratamiento de la información (Se ha podido leer en la presa que, en Reino Unido, apareció en un parking una llave USB con datos de contribuyentes británicos), uso de llaves USB personales en los equipos de la entidad que acaban introduciendo virus en los sistemas. Son casos que suceden con demasiada frecuencia.
Por otro lado, si son terceros los que, para la prestación de servicios a la entidad, tratan información de la misma, deberán suscribirse los correspondientes acuerdos con estos acerca del tratamiento que deben llevar a cabo sobre la información para cubrir los requisitos de seguridad de la misma.
La gestión de la seguridad de la información requiere una evaluación y una auditoría continua para comprobar que la implementación de los controles es efectiva, que las medidas de seguridad son eficaces y, en su caso, ampliarlos o modificar dichos controles.
Asimismo la gestión de la seguridad implica llevar un control de las incidencias que se producen para que se pueda agilizar la reacción ante dicha incidencia con el objetivo de reducir los daños que esta pueda producir, reaccionar de manera coordinada y obtener evidencias que permitan introducir los cambios necesarios para que la incidencia no se vuelva a producir.
Los aspectos tecnológicos para garantizar la seguridad de la información se centran en cuestiones como la seguridad física para proteger los accesos a las instalaciones, oficinas y despachos, así como a los equipos que tratan la información; en la seguridad de las redes; seguridad en los controles de acceso a los sistemas que albergan la información; seguridad de los contenidos; gestión de copias de seguridad, etc.
Y, los aspectos jurídicos, se centran en la adaptación a la normativa que le sea aplicable a la entidad de que se trate. Normativas como la Ley Orgánica de Protección de Datos, la Ley de Propiedad Intelectual, la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos o la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, por ejemplo.
En definitiva, estamos viendo que la seguridad de la información se consigue implementando toda una serie de controles que incluyen políticas, procedimientos, instrucciones, guías, funciones de hardware, funciones de software, etc.
Ahora bien, para seleccionar los controles que propone la ISO/IEC 27001 y saber cuáles son necesarios, es preciso realizar, con carácter previo, un análisis de riesgos para ver qué amenazas afectan a la información de la entidad y a los sistemas que tratan dicha información, y qué impacto puede suponer esa amenaza para las tres dimensiones que mencionábamos antes: la confidencialidad, la integridad y la disponibilidad.
Eliminar de manera absoluta los riesgos para la seguridad que afectan a una organización es básicamente imposible, la organización debe asumir un nivel de riesgo aceptable y, a partir de ahí, gestionarlo con la selección e implantación de los controles que sean necesarios.
La implantación de un sistema de gestión de la seguridad de la información implica un proceso de mantenimiento y mejora continua. Puesto que las circunstancias en la entidad pueden cambiar, por ejemplo, por la adquisición de nuevos equipos o la prestación de nuevos servicios de manera electrónica, los requisitos de seguridad necesarios para la entidad también pueden variar.
Por eso la norma ISO/IEC 27001 establece un modelo basado en un ciclo de vida PLAN, DO, CHECK, ACT. (Planificar, hacer, verificar actuar) que plasma, precisamente, ese proceso de mejora continua.
La propia norma define este ciclo de la siguiente manera:
· Planificar: creación del SGSI. Definir la política, objetivos, procesos y procedimientos del SGSI relevantes para gestionar el riesgo y mejorar la seguridad de la información para obtener resultados acordes con las políticas y objetivos generales de la organización.
- Hacer: implementación y operación del SGSI. Implementar y operar la política, controles, procesos y procedimientos del SGSI.
- Verificar: supervisión y revisión del SGSI. Evaluar y, en su caso, medir el rendimiento del proceso e informar de los resultados a la dirección para su revisión.
- Actuar: mantenimiento y mejora del SGSI. Adoptar las medidas correctivas y preventivas, en función de los resultados de la auditoría interna del SGSI, para lograr la mejora continua del SGSI.
La seguridad de la información no se puede dejar al arbitrio de la suerte y del “nunca pasa nada” porque estamos viendo a diario que siempre acaba pasando algo.
En conclusión, la gestión de la seguridad de la información es un proceso de mejora continua que no se puede dar nunca por concluido puesto que las circunstancias cambian y las amenazas que afectan a la información varían también.
Fuente: http://www.microsoft.com/business/smb/es-es/legal/gestion-seguridad.mspx
©2010 Microsoft Corporation. Todos los derechos reservados. Póngase en contacto con nosotros |Condiciones de uso |Marcas registradas |Declaración de Privacidad
