Seguridad de información


Información es un conjunto de datos organizados para un fin específico. Los datos por sí mismos son intrascendentes pero a partir de que apoyan una decisión, sustentan un criterio, construyen una solución, entonces se convierten en información. En la web se encuentran infinidad de datos almacenados en la nube y sin embargo éstos no constituyen información hasta en tanto tengamos solo datos relevantes y de tal manera organizados, que podamos alcanzar conclusiones útiles y resolver problemas específicos.

Cuando los datos se convierten en información adquieren un valor estratégico para la empresa que es indispensable preservar. Aquí es donde cobra sentido la afirmación de que la información es poder. Perder la información o que ésta sea corrompida pero sobre todo, que sea hurtada o utilizada para fines no autorizados por la compañía puede dañar su reputación, puede llevarla a perder negocios, a pagar severas sanciones económicas por parte de la autoridad y, todo esto puede implicar que una compañía boyante se debilite y termine reducida a la nada.

La información de una compañía se encuentra almacenada en sus bases de datos, implícita en sus políticas y procedimientos y, en la mente de todos los empleados que dominan el know how, definen estrategias y toman decisiones. Con el avance de las tecnologías digitales se puede caer en el error de suponer que proteger la información solo es asunto de ingenieros expertos en sistemas y menospreciar que son personas quienes desarrollan los mecanismos de seguridad, son personas quienes conocen las debilidades de dichos mecanismos, son personas las que pueden tener los incentivos para vulnerarlos y sacar provecho ilícito de esas debilidades.

La información es nada en manos del ignorante pero lo es todo en las manos de quien sabe utilizarla. Los empleados necesitan la información para llevar acabo sus tareas y funciones, para alcanzar objetivos y metas particulares, mismas que deben estar alineadas con la misión, los objetivos, las estrategias y metas de la compañía como un todo, sin embargo, son los empleados quienes a veces sin saberlo facilitan que información sensible caiga en manos de personas mal intencionadas, pero lamentablemente, a veces con plena conciencia, usan esa información para fines personales por mucho alejados del interés de la compañía, en consecuencia se pueden considerar las piezas más débiles del sistema de seguridad de información. Es decir, quien mejor puede dimensionar la utilidad e importancia de la información es justamente quien la usa y que debiera usarla para alcanzar los objetivos de la empresa pero también es quien tiene la posibilidad de omitir o relajar las medidas de seguridad y quien podría tener incentivos para darle un uso que perjudique el interés de la compañía, por ello, es crítico que sepa la responsabilidad ética, moral y hasta legal que asume por el solo hecho de acceder o usar la información de la compañía o aquella que la compañía tiene la obligación de proteger. Quienes producen o resguardan la información podrían no dimensionar el valor de la información pero desempeñan un rol protagónico en la definición y aplicación de las medidas de seguridad y siempre deberán cuidar que estas medidas no obstaculicen la eficiencia de la operación ni comprometan el alcance de los objetivos y metas. Un primer gran paso sería que la empresa reconociera y declarara explícitamente cuál información es suya y cual información que otras entidades le han confiado tiene la obligación de resguardar. Un segundo gran paso es concientizar a todo el personal de la responsabilidad que asumen al acceder y usar esa información.

No obstante que la protección de información se ha ido convirtiendo en una demanda de clientes y socios de negocio también ha sido un requerimiento de la nueva normatividad en materia de prevención de lavado de dinero y financiamiento al terrorismo, en materia de protección de datos personales en posesión de particulares, en materia de la operación de seguros y fianzas, pero por sobre todo, es una necesidad de la empresa misma ante el desarrollo de tecnologías al alcance de los delincuentes que amenazan su supervivencia.

La implementación y mantenimiento de mecanismos robustos y coherentes de seguridad de información debe tener prioridad máxima para la alta dirección de la compañía y debe sustentarse en políticas claras de aplicación general, en un código de conducta en continua evolución que busque preservar los valores de la empresa y una escala de sanciones de aplicación rigurosa. Evidentemente estos mecanismos deben irse adaptando a la operación de la compañía a medida que esta va evolucionando.

En la estrategia de implementación de los mecanismos de seguridad puede caerse fácilmente en la tentación de implementar acciones a medida que los incidentes se van presentando asumiendo que no se es vulnerable en tanto no se haya presentado algún incidente. Este proceder es similar a ir cerrando con llave solo las puertas que un delincuente ha dejado descuidadamente abiertas una vez que, a través de ellas, ha hurtado el botín; nadie más tenía conciencia de que tales puertas estaban mal cerradas, solo el delincuente lo confirmó al intentar abrirlas con la intención de acceder a la información.  Otro error común es precipitarse en llevar a cabo acciones y, más temprano que tarde, darse cuenta que era indispensable definir claramente la política y, aún cuando sin pérdida de tiempo se desarrolle el mecanismo, no poner la política en vigor sin antes comunicarla adecuadamente a todos los involucrados. Cualquier medida de seguridad implementada sin valorar sus implicaciones o sin comunicarla adecuadamente se convertirá fácilmente en un obstáculo que frene la eficiencia y competitividad de la empresa, por ejemplo, si al descubrir que alguien accedió a un documento con información sensible sin necesitarlo para el desempeño de sus responsabilidades, se toma la decisión de resguardar bajo llave el documento seguramente será más difícil que los empleados que sí lo necesitan accedan a él y desempeñarán su trabajo con menor eficiencia.

La nueva normatividad de seguros y fianzas deja al Sistema de Gobierno Corporativo la responsabilidad de aprobar las políticas de seguridad de información, al sistema de control interno la responsabilidad de vigilar su aplicación y cumplimiento así como evaluar su efectividad y, a la función de auditoria interna la revisión periódica de la validez de las políticas, los mecanismos con que se aplican y la efectividad del sistema de control interno. Todo esto representa un reconocimiento legal del carácter estratégico que la seguridad de la información tiene para la institución aseguradora. Solo falta que al interior de la misma, no se consideren estas  tareas tan solo como una carga operativa y burocrática, sino una necesidad de preservar la información protegida que por definición es crítica para el negocio.

Esta entrada fue publicada en 1.5. Reflexiones. Guarda el enlace permanente.

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s