Los datos sobre la ciberseguridad, en general, y la seguridad de la información, en particular, brotan como manantiales en forma de secretos de estado develados, piratas “buenos” que ayudan a las organizaciones a protegerse contra el crimen, normas ISO, simposios, seminarios web, libros, expertos y gurús con cifras recién analizadas. ¿Esto se debe a que el tema está de moda, a paranoia generalizada o a la tecnología que avanza desbocada, mientras las leyes van quedando atrás? Aparentemente, no es tan fácil asimilar que el mundo está interconectado, que los datos valen oro y que muchas vidas y negocios pueden verse negativamente alcanzadas si no logramos mantener la confidencialidad, integridad y disponibilidad de la información.
Como líder de una organización, ¿Qué gano al invertir tiempo, dinero y esfuerzos en seguridad de la información? Primero que todo, aclaremos que nuestro gobierno organizacional requiere entender, supervisar y apoyar todo lo concerniente a este tema, además de pautar un programa contentivo de prioridades y metas que sean coherentes con la misión de la empresa.
Este compromiso debe reflejarse en la aprobación de recursos y el apoyo sostenido para lograr el éxito del programa. Un liderazgo fuerte es la base para construir un sistema de gestión de la seguridad de la información robusto y eficaz, ello incluye una participación visible, acción, comunicación constante y privilegiar la seguridad de la información (SI) en la agenda como un tema destacado. Se espera que el gobierno delegue públicamente responsabilidades y autoridades que se encargarán de la SI.
El éxito de una compañía es inherente a trazarse objetivos de seguridad de la información y cumplirlos. ¿Por qué? Porque la consecución de las metas planteadas depende en gran medida de la información que emana la compañía, de clientes, proveedores y demás partes interesadas, además de la tecnología.
Entonces, ¿Cómo no sería importante proteger tal información? ¡Definitivamente es prioritario! La SI tiene que ser parte de la estrategia organizacional, de los procesos y operaciones diarias
Esto favorece a la continuidad del negocio aún en situaciones poco favorables como desastres naturales y crisis de diversas índoles. La consecuencia inevitable de esto es lograr la confianza de clientes y colaboradores, quienes percibirán que nuestros esfuerzos se sostienen en la protección de la información sensible y que los resguardamos responsablemente.
Cuando empleamos nuestros recursos, podemos hablar de que nuestra inversión rinde frutos y de que la gestión financiera llevada a cabo es eficaz, puesto que no se dedican ni tiempo ni dinero en reparar desastres como la fuga de informaciones y demás incidentes indeseados.
En estos tiempos de e-commerce efervescente, la seguridad de la información (SI) potencia la capacidad de brindar productos y servicios de forma eficaz, en vista de que los datos confidenciales resultarían salvaguardados y se cumplirían los requisitos de los clientes más exigentes a la vez que se cuida la información propia.
En última instancia, es relevante señalar que la responsabilidad de crear una política de SI y crear y cumplir objetivos de SI pertenece a los líderes. Es decir, al gobierno corporativo. En ellos recae la tarea de garantizar la SI para cumplir con la misión de la organización y aumentar el valor para la empresa.
¿Conoces en qué punto está la seguridad de la información en tu organización y dónde te gustaría estar? Una forma efectiva de hacerlo puede ser evaluando si se cumplen las leyes sobre seguridad, reglamentos y normas (como la ISO 27001).
También es imprescindible conocer cuáles son los riesgos y amenazas que acechan a la empresa, y en función a eso trazar objetivos que apunten a lograr la confidencialidad, integridad y disponibilidad de la información. De cada objetivo deben desprenderse controles capaces de gestionar los riesgos.
¿Cuál podría ser el objetivo más relevante? Aunque parezca obvio, lo vital es proteger a la organización y su capacidad para llevar a cabo su misión.
No exageramos al afirmar que la pérdida de conectividad a internet, la denegación de servicios, apagones, incendios o terremotos pueden atentar contra la disponibilidad de información clave, y así sería imposible cumplir con la misión de la compañía. Los objetivos no son inamovibles.
Estos varían o se actualizan en caso de que la misión de la empresa cambie, existan nuevos requisitos operativos, surjan otros riesgos, entre otros. Los cambios muchas veces pueden ser impredecibles y necesitamos ser tan flexibles como podamos.
Las reglas de seguridad, que rigen el comportamiento esperado de una entidad, es lo que se conoce como política de SI. Con ese texto damos a conocer las directivas, reglamentos, normas y prácticas que señalan la forma en que la empresa gestiona, protege, almacena y distribuye la información.
No es fácil diseñar un corpus como el que indicamos. Es tarea de la gerencia decidir hacia dónde se destinarán los recursos, indicarles a los empleados cómo deben comportarse con relación a la SI y qué se espera de ellos, jerarquizar objetivos y llevar todo esto a la práctica. Para apoyar tu labor, te indicamos qué debería tener una política de seguridad de la información: