Aspectos a tener en cuenta para la implantación de medidas de seguridad

27001

Por Edgar David Oliva Terán

Cada empresa esta constituida por diversos elementos, cada uno de ellos son los que le otorgan la eficacia y sostenibilidad necesaria para que la empresa pueda mantenerse estable.

Dentro de estos activos, necesariamente se debe hablar de la seguridad de información, esto en el entendido de que las empresas y su “saber industrial”, su “saber como” y “datos privados sobre sus clientes” es traducido y plasmado en bits, es decir,  su manera de comportarse y con quienes se comportan las empresas, se encuentra almacenado de manera digital ya sea en sus mismas oficinas, o en un servicio de cómputo en la nube externo.

Es precisamente este elemento de información, aquel que podría reflejarse como el esqueleto del  modelo de negocios de la empresa, es tal la importancia de esta información, que de ser obtenida de manera ilegítima, podría significar que la copia y simulación de los modelos, al igual que la desacreditación de la empresa, por la fácil obtención de datos privados de su cartera de clientes.

Mientras más importante sea un elemento en la empresa, mayor debe ser la tutela que reciba por la misma, al momento en que se comprende el valor de la información y su  fragilidad en cuanto a su destrucción, manipulación y acceso indebido, es cuando las empresas deben velar por la implementación de medidas de seguridad.

Antes de hablar de lo que son las medidas de seguridad, es necesario que la seguridad misma sea un activo más de la empresa, tal como lo es la información, en el entendido de que no podrían existir datos privados o relevantes, sin hablar de seguridad.

La seguridad en toda la amplitud de la palabra, hace referencia a otorgar intangibilidad al activo, la certeza que no será destruido ni dañado.

Principales aspectos a tener en  cuenta a la hora de implementar medidas de seguridad.

La seguridad que se busca dentro de una institución no es la seguridad informática necesariamente, sino la seguridad de la información, en el entendido de que una cultura de seguridad debe ser cultivada de manera interna y en todos los niveles tanto administrativos como ejecutivos, no así confiada sólo a dispositivos electrónicos programados.

Si la pretensión de la empresa es la de resguardar la información, es necesario primero hacer ciertos análisis a nivel interno, para ver qué medidas de seguridad son las necesarias y cuáles se adecuan a estas necesidades.

Este análisis parte desde la economía de la empresa, hasta los puntos más vulnerables y críticos que se encuentran dentro de los agentes que manejan la información, por lo que los aspectos que deberán ser tomados en cuenta antes de implementar medidas de seguridad serían:

1.-  Análisis coste beneficio.

Si bien la información es un activo de la empresa, y la fuga o vulneración de el mismo supone, grandes pérdidas monetarias, no se puede olvidar que la implementación de medidas de seguridad, es una inversión que puede llegar a ser costosa, y tal como cualquier inversión, las ganancias son vistas a largo plazo, incluso en materia de seguridad, uno no llega a ver resultados materiales, sino subjetivos, en el entendido de que invierte para no ver, es decir, se destina un monto de dinero para no tener que ver fugas de información o alteración de la misma.

Cuando se realiza un análisis de costo beneficio, es importante saber cuánta información privada se maneja, cuán importante es esta para terceros, y cuanto esta uno dispuesto a pagar para protegerla.

a) ¿Qué información se maneja?

Indudablemente toda institución maneja información, pero no todo dato es un activo de la empresa, por lo que se debe otorgarle un valor a estos datos, de esta manera uno podría avanzar en el análisis del costo beneficio.

b) ¿Posibles interesados?

Dependiendo la razón social que maneje la institución, los datos almacenados podrían ser de interés para terceros, si hablamos de comercio o industria, estamos hablando de la competencia con intereses de imitar sus actuaciones en el mercado, mientras que si hablamos de bancos, se podría entender por interesados, a terceros que planean siniestros contra la misma institución o contra los clientes.

c) ¿Cuántos recursos se pueden destinar a la seguridad?

Este es el punto definitivo para el análisis del costo beneficio, si mediante los anteriores puntos, se ha visto que la información es uno de los mayores activos de la empresa, y que si esta es filtrada, podría suponer una pérdida única, además de que son muchos los interesados en esta información confidencial, lo mejor será darle una preferencia al asunto, por lo que al momento de elaborar el POA, se proveerá una cantidad considerable para la implementación y posterior control.

Es el costo beneficio, uno de los mayores aspectos a tomar en cuenta, y dependiendo de cómo se respondieron los anteriores tres puntos, cada institución podrá ver que medida de seguridad es la que más conviene y se ajusta más a su presupuesto.

2.-  Principales medidas a adoptar

Las principales medidas para adoptar pueden variar dependiendo en los recursos económicos con los cuales cuenta la institución, sin embargo existen medidas que si bien son accesibles para las instituciones, también cumplen un rol importante en la cultura de seguridad y más aún, son aquellas que generan mayor tutela, y protección preventiva, estas son las de control, y nos referimos a las de control a nivel de gerencia, recursos humanos, en cuestión de contratos y propiedad intelectual.

Es necesario, proteger la información adoptando estas medidas, puesto que se siguen los lineamientos de educación, cultura y prevención, que son los lineamientos más avanzados en materia de seguridad, estos son controles regulares que se realizan al personal de la empresa, para ver que tipo de actos cometen y si es que estos podrían traer consecuencias desfavorables para la seguridad.

Se deben establecer marcadas prohibiciones y detalles al actuar en el habitual comportamiento de los miembros de la institución, estos controles operativos hacia el personal, se debe traducir en un reglamento de uso de tecnologías, el mismo que de manera normativa y obligatoria regulará al personal y su interacción con la información digital, este reglamento es un instrumento que debe verse como obligatorio para toda empresa que quiera asegurar la información, sólo mediante la coacción psicológica que genera la norma, el ser humano se puede desanimar de realizar actos peligrosos, inclusive una vez realizados podrán ser efectivamente sancionados.

Este reglamento es una de las principales medidas para adoptar, puesto que sus prohibiciones engloban todos los actos que puedan generar peligro hacia los datos informáticos, actos simples como el normal manejo de discos externos, o la facilidad por la que un empleado de cualquier jerarquía puede ingresar a páginas potencialmente peligrosas.

De igual manera, los reglamentos avanzados norman y establecen intraredes las cuales impiden el acceso no autorizado a cualquier cuenta vulnerable, la omisión de esta regla en cuanto a la intrared, genera que el empleado sea despedido con justa causa.

Los contratos son otro modo de control, es necesario para integrarse en él todas aquellas cláusulas de seguridad que debe aceptar de manera voluntaria el empleado, mediante un contrato que salvaguarde la información se podrá regular el comportamiento de los empleados y el conocimiento único que han adquirido dentro de la empresa, por ejemplo discreción en el ya adquirido “saber como” propio de la empresa contratante, o reserva de “información industrial” en cuanto a la fórmula del producto que se produce, este tipo de obligaciones nacidas en un contrato tienen una vigencia posterior incluso después de haber concluido el contrato, por lo que siempre los controles al personal mediante instrumentos legales, podrá ser una de las más beneficiosas en materia de seguridad.

 3.- Puntos críticos.

Para adoptar medidas de seguridad, es necesario comprender los puntos críticos, o aspectos que generan mayores riesgos de filtro de información, y sin lugar a dudas el punto crítico es el factor humano, independiente de los hardwares como ser el control biométrico o software como ser los firewalls que se implementen en una empresa, el factor humano siempre será un punto crítico en la seguridad, las máquinas pueden ser programadas, pero no así el empleado, los sujetos que trabajan en una institución tomandolos en cuenta desde la alta gerencia, no pueden ser automatizados, por lo que tratar de comprender quién podría dar lugar a una falla de seguridad es casi imposible.

Es justo por el factor humano, por el que se debe optar más por una seguridad de la información que por una seguridad informática, en el entendido de que proyectar la tutela por medio de los dispositivos electrónicos no es la única forma de preservar la información intacta.

La mayor vulnerabilidad que posee una institución es el personal interno de la empresa, el mismo que motivado por diversas razones puede tener la intención de darle una utilidad ilegítima a la información.

Si bien los reglamentos, políticas de seguridad y contratos sirven como controles, no son suficientes, puesto que el ser humano en cuanto a la coacción psicológica y cultura, varía mucho su reacción, nuevamente bajo el entendido de que el ser humano no es un ser autómata, y estos controles llegan a carecer de fuerza.

No existe una solución única y eficaz para contrarrestar este punto crítico, por lo que se debe hacer hincapié en las medidas de seguridad preventivas, es decir en el reglamento, contrato y políticas de seguridad, que si bien no son totalmente efectivas, generan un antecedente al momento de existir una vulneración, el cual puede utilizarse luego para perseguir judicialmente al responsable.

El Observatorio

El Observatorio Iberoamericano de Protección de Datos, nace como una iniciativa personal, sin ánimo de lucro, de Daniel A. López Carballo, como foro de encuentro, donde poder compartir comentarios, ideas y conocimientos, en el ámbito de la privacidad, protección de datos y habeas data, sobre los diferentes países iberoamericanos.