Que es seguridad de la información?  Para no informáticos. Punto de Vista para la Alta Dirección

Por Elder Guerra / Director

 La creciente importancia de la gestión de los activos intangibles ha crecido cada vez más.  Estamos hoy en día, inmersos en la nueva era de la información y el conocimiento, la era de la economía digital donde las transacciones, comercio electrónico, uso de certificados digitales, etc. son cada vez temas con los que nos topamos cada día.

A manera de referencia, en la siguiente tabla puede observarse la creciente  importancia de los activos intangibles en general.

Activos Intangibles SyP500Cuáles son los activos intangibles de su empresa?  Le garantizo que la Información es uno de esos activos intangibles, junto con el capital humano, capital organizacional entre otros.

Constantemente cuando abordo con mis alumnos de los programas de MBA tanto en Guatemala como en Chile, el tema de los activos intangibles, surgen muchas inquietudes y vemos como financieramente hablando, por ejemplo cuando damos una capacitación en vez de ser tomado como una inversión ya que afecta un activo intangible como lo es el capital humano, lo que se hace es pasarlo por el gasto, es la solución más fácil, sabe porque? Porque no es tan fácil calcular el retorno de la inversión (ROI) como resulta con los otros activos tangibles o de más fácil realización.    Así mismo, pasa con el activo intangible capital de información. Cuánto vale su base de datos? Cuánto cuesta para la empresa el costo de una mala imagen porque le hackearon su servidor web? Cuando le cuesta a la empresa el hecho que un empleado descontento atente contra la seguridad de la información de la empresa?

En otros artículos he escrito sobre los otros activos intangibles en general, www.xpertia.gt/downloads/articulos/estrategia/activosintangibles.pdf , en el presente artículo abordaremos la forma de blindar ese activo tan importante de su empresa como lo es su información.

Picture2La familia de normas ISO 27000, son creadas/editadas en el ISO/IEC JTC 1/SC27 IT Security Techniques.  Lo que se busca es crear un Sistema de Gestión de Seguridad de la Información (SGSI), la norma que contiene los requerimientos para poder tener un SGSI certificado a nivel internacional es la norma ISO 27001. La familia es numerosa y tenemos varias normas que apoyan el proyecto.  Como todo estándar internacional emitido por la Organización Internacional de Estándares (ISO por sus siglas en inglés), se busca cumplir con el ciclo Planear-Hacer-Verificar-Actuar (PHVA) con lo cual se puede decir tenemos implementado un sistema de gestión debido a que se cierra el ciclo completo.

Muchas veces al abordar el tema de seguridad de la información, por desconocimiento, se piensa que se trata de comprar el ultimo software que llevará el tema, algunas veces he encontrado que piensan que se trata de comprar un firewall más potente o de poner más hardware o software y la norma ISO 27001 es mucho más que eso.  La norma tiene un impacto directo en el capital organizacional de la empresa (cultura, estilo de liderazgo, trabajo en equipo) asi como al capital humano debido a que deben generarse competencias relacionadas al tema.  Seguridad de la información no se trata de una simple capacitación sobre sensibilización de la importancia de la confidencialidad de la información de los clientes, Seguridad de la información trata de implementar un sistema de gestión completo integral dentro de la empresa y la norma ISO 27001 es la solución para ello.

La última versión de la norma ISO 27001 fue liberada a finales del año 2013, por ello ahora se referencia a la norma ISO 27001:2013, para un resumen de los cambios entre la versión ISO 27001:2005 y la ISO 27001:2013 le sugiero leer el artículo www.xpertia.gt/downloads/articulos/ISMS/Diferencias_versiones_2005_ 2013_norma_ISO27001.pdf

Pensemos en la laptop de un vendedor de su empresa. Resulta que el vendedor mientras visita un cliente, deja su laptop en el carro parqueado sobre una calle cualquiera, y la laptop contiene información importante comercial de su empresa! Como protegemos eso? Piense un poco sobre ello antes de continuar con la lectura. Le sugiero tomar un papel y anotar las formas en que usted cree que se podría proteger esa información.

Seguramente como me pasa en muchas oportunidades, al abordar este mismo tema en cursos de las maestrías o seminarios/congresos locales e internacionales donde he estado, empiezan a hacer una lista de cosas como encriptar el disco duro, ponerle clave de arranque (boot) distinta de la clave del sistema operativo,  usar algún dispositivo biométrico como muchas traen ya incorporados, etc. Si es fue su caso está entre los usuarios que tienen un conocimiento promedio de lo que es seguridad de la información. No se preocupe, es buen momento para empezar a entender más este mundo.

La lista de acciones a tomar que regularmente hacen pueden ser llamadas controles, como los listados en el párrafo anterior, pero existen otro tipo de controles para resguardar la confidencialidad, integridad y disponibilidad de su información sensible, entre estos controles tenemos algunos relacionados al capital humano, como acuerdos de confidencialidad firmados, otros controles como políticas y procedimientos para uso de dispositivos electrónicos fuera de la empresa, políticas y procedimientos de capacitación/inducción a estos temas,  transferencia del riesgo a un tercero como puede ser una aseguradora, etc.  Como podrá ver, temas que no se resuelven solo con hardware y software.  De esto trata la norma ISO 27001.

La norma contiene dentro de su cuerpo varias cláusulas el Anexo A, en el cual se encuentran 114 controles que pueden ser utilizados para resguardar la seguridad de su información.   Continuará..

Para leer mas sobre la familia de normas ISO 27000 y entender los conceptos básicos puede ver la siguiente presentación:   ISO 27K Conceptos Basicos