El objetivo de este documento es presentar la importancia que tiene la Seguridad de información o tambien conocida en ingles como “Information Security”, y sobre todo exponer los riesgos que implican la falta seguridad en la información de las empresas y sus clientes.
Para ello, se van a exponer criterios de estrategias y políticas para proteger la información de la organización que pueden aplicarse a cualquier ámbito comercial, desde pequeña empresas hasta grandes corporaciones.
Así como también se hará referencia a las diferentes dimensiones en las decisiones y los responsables en la implementación y ejecución de los sistemas de seguridad de información.
Conceptos de Seguridad Informática o Cyber Security
Para entender las estrategias de la Seguridad de la Información Tecnológica o en ingles conocida como Cyber Security, es necesario describir algunos conceptos básicos sobre Seguridad de Información. Para esto, a continuación, se describen algunos conceptos de diferentes autores, acerca de la importancia y de el objetivo de su implementación.
Importancia de la Seguridad Informática
El manejo de la información y la creación de políticas rigurosas de accesibilidad a los sistemas informáticos ha sido un tema crítico empresarial (Sindhuja, 2014). Lo es también la gestión de la seguridad en la información, las soluciones tecnológicas y su articulación con la participación del usuario (Herath y Rao, 2009).
Los gerentes requieren un conocimiento amplio en seguridad de la información para garantizar la toma de decisiones sobre sistema y tecnologías de la información (Gheorghe, 2010; Parsons et al., 2014), más aún cuando el mismo usuario del SI puede poner en riesgo la organización inadvertida o deliberadamente al divulgar contraseñas o ser víctima de software maliciosos o malintencionados (malware o phishing, etc.) (Parsons et al., 2014). (Solano Rodríguez, García Pérez de Lema, & Bernal, 2016).
Objetivo de Seguridad TI
El objetivo de la seguriad de las TI es garantizar que existe y se mantiene un marco de referencia con el fin de asegurar que las estrategias de seguridad de la información están alineadas con los objetivos del negocio y que son consistentes con la regulación y leyes aplicables. (Castellanos, 2015).
De acuerdo con Baca Urbina (2016), se deberá formular un plan para prevenir los principales tipos de ataque interno, externo, físico o electrónico sobre la información.
Además, en caso de que llegara a suceder cualquier daño a la información, ya sea alteración o robo, también se debe contar con planes para la recuperación de esa información en su totalidad; los planes de recuperación y el plan de contingencia. No todos los planes de recuperación de la información o del negocio tienen el mismo costo, el cual depende del daño que haya sufrido la información, incluyendo pérdida total, y de la clase de plan que haya sido aceptado por la alta dirección.
En este sentido, se hace indispensable que todo personal del área de informática dentro de una organización esté consciente de cuál es el objetivo final de la seguridad de los sistemas de información. (pág. 19).
Marco de Decisiones de Seguridad TI
Para el análisis del marco de decisiones de Seguridad TI se va a considerar la imagen recomendada por Bangerter (2019) y en base a esta referencia se ha desplegado cada dimensión mencionada.
Seguridad Informática y Estrategia de Seguridad IT
La estrategia de seguridad información es un patrón frente al cual una compañía toma sus decisiones de protección de la información con base en sus objetivos y propósito. El proceso de toma de decisiones requiere de la definición de una política y de un plan de acción para alcanzar los objetivos de seguridad de la información. La estrategia permite definir los procesos y estructuras requeridos para satisfacer las necesidades de seguridad de la información de los accionistas, empleados, clientes y comunidad. (Castellanos, 2015).
Para definir una estrategia de seguridad de información es recomendable según ISACA (2012) considerar los siguientes indicadores:
- Número de incidentes de seguridad causantes de pérdidas financieras, interrupción del negocio o vergüenza pública.
- Número de servicios TI sin requerimientos de seguridad destacables.
- Tiempo de concesión, cambio y eliminación de privilegios de acceso comparado con los niveles de servicio acordados.
- Frecuencia de las evaluaciones de seguridad con relación a los últimos estándares y guías (pág. 18).
Infraestructura de Seguridad de Información
De acuerdo con los indicado por News Center LATAM (2016) Hoy los negocios requieren usar soluciones seguras y el cómputo en la nube ofrece una oportunidad de reducir costos, riesgos y esfuerzos de administración de plataformas de TI y software. Platicamos con Roberto Arbelaez, Microsoft Chief Security Advisor para las Américas sobre este tema y nos da 7 consejos sobre lo que debe tener la seguridad de una empresa:
Infraestructura robusta. Lo fundamental para una buena seguridad es una infraestructura robusta. Para ello se requieren varios aspectos: arquitectura, diseño de un esquema de protección, operaciones y prácticas seguras, además de una administración de riesgos.
Arquitectura. Es como cuando se habla del diseño de una cárcel o una base militar. Siempre debe estar considerada la finalidad del edificio. ¿Son reos de alta peligrosidad? ¿Qué información y objetos estarán dentro de un campo militar?
Diseño. El sistema debe estar diseñado como un todo, un conjunto de componentes que deben estar asegurados de maneras separadas. Una infraestructura segura debe considerar un diseño general de la solución con atención en la protección de los datos; en el que cada uno de los componentes por separado estén seguros: servidores, computadores, la red, componentes de comunicación, etcétera.
Operaciones seguras. Cuando configuras un servicio o das de alta a un usuario, es todo lo que tiene que ver con la interacción con un sistema y eso debe estar hecho también de manera segura. Uno puede tener un automóvil súper seguro con las mejores medidas de seguridad, pero si uno lo maneja borracho o al doble del límite de velocidad uno terminará accidentándose.
Mejores prácticas. Se debe tener una visión de ‘mejores prácticas’ que establecen cuál es la mejor manera de hacer las cosas en la mayoría de los escenarios, la mayoría de veces. Es bueno tener claro cuáles son las mejores prácticas y adoptarlas para tener un referente de mejora. Si uno no tiene un objetivo uno no puede mejorar. Lo mismo sucede en la seguridad.
Administración de riesgos. Todas las empresas son diferentes. Todas las industrias, el horizonte de amenazas, las exposiciones al riesgo son diferentes. Por eso es importante tener un referente. ¿Cuál sería para una pyme? Depende del negocio en el que están. Depende de la importancia de la información que manejan. El horizonte de riesgos da claridad para evaluar hasta dónde quiero optimizar mi sistema y a qué le doy prioridad.
Cómputo en la Nube. La Nube permite operaciones seguras debido a su diseño de solución y arquitectura. A nivel de arquitectura es una fortaleza. La arquitectura de la nube ya está armada y las operaciones y las configuraciones las hace el proveedor por eso se disminuye la exposición al riesgo. (pág. 1).
Políticas de Seguridad de la Información
Establecer roles y responsabilidades. Establecer, acordar y comunicar roles y responsabilidades del personal de TI, así como de otras partes interesadas con responsabilidades en las TI corporativas, que reflejen claramente las necesidades generales del negocio y los objetivos de TI, así como la autoridad, las responsabilidades y la rendición de cuentas del personal relevante. (ISACA, 2012, pág. 53).
Definir y mantener las responsabilidades de la propiedad de la información (datos) y los sistemas de información. Definir y mantener las responsabilidades de la propiedad de la información (datos) y los sistemas de información. Asegurar que los propietarios toman decisiones sobre la clasificación de la información y los sistemas y su protección de acuerdo con esta clasificación. (ISACA, 2012, pág. 55).
Establecer y mantener un SGSI. Establecer y mantener un SGSI que proporcione un enfoque estándar, formal y continuo a la gestión de seguridad para la información, tecnología y procesos de negocio que esté alineados con los requerimientos de negocio y la gestión de seguridad en la empresa. (ISACA, 2012, pág. 113).
Definir y gestionar un plan de tratamiento del riesgo de la seguridad de la información. Mantener un plan de seguridad de información que describa cómo se gestionan y alinean los riesgos de seguridad de información con la estrategia y la arquitectura de empresa. Asegurar que las recomendaciones para implementar las mejoras en seguridad se basan en casos de negocio aprobados, se implementan como parte integral del desarrollo de soluciones y servicios y se operan, después, como parte integral de las operaciones del negocio. (ISACA, 2012, pág. 114).
Supervisar y revisar el SGSI. Mantener y comunicar regularmente la necesidad y los beneficios de la mejora continua de la seguridad de información. Recolectar y analizar datos sobre el SGSI y la mejora de su efectividad. Corregir las no conformidades para prevenir recurrencias. Promover una cultura de seguridad y de mejora continua. (ISACA, 2012, pág. 114).
Gestionar Servicios de Seguridad Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. (ISACA, 2012, pág. 191).
Gestionar la seguridad de la red y las conexiones. Utilizar medidas de seguridad y procedimientos de gestión relacionados para proteger la información en todos los modos de conexión. (ISACA, 2012, pág. 193).
Gestionar la seguridad de los puestos de usuario final. Asegurar que los puestos de usuario final (es decir, portátil, equipo sobremesa, servidor y otros dispositivos y software móviles y de red) están asegurados a un nivel que es igual o mayor al definido en los requerimientos de seguridad de la información procesada, almacenada o transmitida. (ISACA, 2012, pág. 193).
Gestionar documentos sensibles y dispositivos de salida. Establecer salvaguardas físicas apropiadas, prácticas de contabilidad y gestión del inventario para activos de TI sensibles, tales como formularios especiales, títulos negociables, impresoras de propósito especial o credenciales (token) de seguridad. (ISACA, 2012, pág. 195).
Supervisar la infraestructura para detectar eventos relacionados con la seguridad. Usando herramientas de detección de intrusiones, supervisar la infraestructura para detectar accesos no autorizados y asegurar que cualquier evento esté integrado con la supervisión general de eventos y la gestión de incidentes. (ISACA, 2012, pág. 195).
Educación, Formación y Sensibilización en materia de Seguridad
Los usuarios del SI son un recurso importante para la empresa, dado que contribuye a la seguridad del SI, proporcionan medidas y el conocimiento necesario para la protección de la información y de los procesos sensibles del negocio (Spears y Barki, 2010), aspectos que se deben dar en la fase de planeación del SI y su implementación. (Solano Rodríguez, García Pérez de Lema, & Bernal, 2016, pág. 92).
La dirección de la empresa debe dar a conocer a los usuarios las políticas y los procedimientos para contribuir a una mayor seguridad de la información y evitar cierta aversión al riesgo (Parsons et al., 2014). Minimizar los riesgos del SI implica seguimiento, análisis de informes y rendición de cuenta como mecanismos de control (Gheorghe, 2010, 2011). (Solano Rodríguez, García Pérez de Lema, & Bernal, 2016, pág. 94).
Las 5 Razones porqué implementar un Sistema de Seguridad TI
La seguridad informática es una de las preocupaciones del usuario medio actual. La pérdida de datos está a la orden del día, así como los ataques informáticos hacia sitios web y bases de datos. Nadie se libra ni está a salvo.
Queremos hacer énfasis en la necesidad de invertir en seguridad por cinco razones evidentes:
- Los ataques informáticos están a la orden del día. El 80% de compañías británicas, por ejemplo, sufren al menos un ataque informático al año. Esta cifra es apabullante, y no nos debe despistar, esto es un serio compromiso y nos debe servir de ejemplo para saber que debemos estar por delante de los crackers. Invertir tiempo (y dinero) en contar con los sistemas más seguros es fundamental, ya que el más seguro de los sistemas es tan seguro como el más débil de sus eslabones. Para asegurar nuestra web, por ejemplo, podemos contar con aplicaciones como Latch de Eleven Paths, que aseguran nuestra web evitando que alguien acceda al back end.
- Trabajamos con información sensible. Conforme la tecnología avanza, los sistemas hacen lo propio. Esto implica mayores niveles de seguridad, pero hecha la ley, hecha la trampa. Sin ir más lejos, al poco de liberarse una nueva actualización del sistema operativo iOS de un teléfono iPhone (10 días o menos), ya suele estar disponible su jailbreak, o versión liberada del software. Esto quiere decir que, aunque los sistemas cada vez tienen una mayor complejidad, los crackers también adquieren capacidades mayores para penetrar en ellos.
- Nos pone por delante de la competencia. Esto se traduce en crecientes ataques informáticos que nos hacen perder millones anualmente y provocan robos de información muy graves. Las empresas no valoran lo importante que es tener nuestros sistemas a prueba de balas y contar con profesionales preparados para ello. Por eso, si nuestra empresa se anticipa se pondrá por delante de la compañía ofreciendo un valor añadido de gran valor a sus clientes.
- Más seguridad es igual a menos tiempo perdido. Una mayor seguridad informática y nociones de la misma supone tener que dedicar menos tiempo en contratar a una persona que nos resuelva el desaguisado, en investigaciones policiales si implica robo de información valiosa, así como perjuicios provocados a terceras personas. En definitiva, es una inversión de las que se ajustan al refranero popular: “Más vale prevenir que curar”.
- Los usuarios reclaman sistemas fiables. Sin duda, lo mínimo que piden los usuarios de un portal o compañía es que seamos responsables con sus datos. Un ataque informático podría exponer datos personales de personas que confían en nosotros. Es nuestro deber mantener los sistemas seguros con profesionales de la seguridad informática, hackers y expertos en informática. (MarTech Forum, 2018).
Conclusión
Según lo expuesto en este documento, se ha demostrado que los Sistemas de Seguridad de Información son de vital importancia para el aseguramiento del éxito de las operaciones de las empresas, pero además de garantizar la protección de la información de la organización también preserva la información de los clientes, proveedores y todos los actores que participen directa o indirectamente con la institución, lo cual incide en la satisfacción y continuidad de los servicios.
Otros puntos de relevancia que se exponen en el documento son:
- La información que proteger es tanto digital como manual, por ejemplo, formularios físicos o balances impresos.
- Los usuarios, colaboradores, gerentes y todos los participantes internos de la empresa son de gran importancia para la correcta implementación de políticas de seguridad.
- Los riesgos son cada vez más peligrosos, y mientras más expuesta este la empresa más vulnerable se vuelve.
- Las estrategias y políticas dependerán del giro del negocio y las vulnerabilidades detectadas para cada organización, lo que significa que las decisiones de Seguridad de Información dependerán de la formación comportamiento y entorno de la institución.
Referencias
Baca Urbina, G. (2016). Introducción a la Seguridad Informática. Mexico D.F.: Grupo Editorial Patria.
Bangerter, T. (2019, 10 11). Documento de Seguridad publicado en Ana G. Mendez.
Castellanos, W. A. (2015, 02 23). https://acis.org.co. Obtenido de ACIS: Planeacion Estrategica Seguridad.
ISACA. (2012). COBIT® 5: Procesos Catalizadores. NewYork: ISACA.
MarTech Forum. (2018, 08 01). Martechforum. Obtenido de Seguridad Informatica Marketing.
News Center LATAM. (2016, 08 24). Microsoft. Obtenido de Las 7 claves fundamentales para la seguridad tecnologica de una empresa dichas por experto de Microsoft
Solano Rodríguez, O., García Pérez de Lema, D., & Bernal, J. (2016, 08 01). Obtenido de Documento publicado en Universidad Ana G Mendez.
