Por concretar conceptos y expectativas deberíamos decir que la información es un conjunto ordenado de datos que modifica el conocimiento de quien la recibe, y por ende podrá estar en cualquier formato: oral, digital, en un soporte de papel, etc. Es decir, estamos hablando de seguridad de la información no de seguridad informática.
Al estar en cualquier formato o soporte, su seguridad no solo afecta a los sistemas de información, el entorno TIC, la protección de la información de la organización también incumbe a RRHH al contratar a personas que manejarán información, al departamento de compras o contratación que establece contratos con terceros que accederán a nuestras instalaciones, o al responsable de mantenimiento que se encarga de la protección de los edificios y oficinas. En resumen, la información es un activo que se debe proteger por todos los ámbitos de la organización.
Antes de seguir, ¿qué entendemos por seguridad? Cuando hablamos de garantizar la seguridad de la información nos referimos a garantizar su confidencialidad, es decir, que la conozcan únicamente las personas a las que les compete por su actividad dentro de la organización, su integridad, que no sufra modificaciones desde su emisión hasta su recepción bien sea por error, o de manera intencionada por alguien que tenga interés en alterarla para generar daño, y la disponibilidad, es decir, que esté disponible cuando se requiere.
Cuando alguien accede a la información de manera indebida, la manipula y altera o hace que no esté disponible cuando se necesite, en ese momento se está generando en nuestra organización un daño, un impacto, a esto lo denominaremos incidente de seguridad. En función de lo importante que sea la información y la afección sobre ella mayor será el impacto. Y cuando hablamos de impacto nos estaremos refiriendo a un daño reputacional, a la sanción económica de la Agencia Española de Protección de Datos por afectar a datos personales, a una parada en la producción de nuestra planta, etc.
En resumen, la información es un activo de la organización ya que interviene en todos los procesos, una afección sobre ella afectará a los servicios que entregamos o productos que fabricamos.
Pero ¿qué es gestionar la seguridad de la información?
- Que la alta dirección entienda la importancia de la información como un activo crítico a proteger. Esto suele ser más fácil en entornos en los que la información está muy ligada a la fabricación, producción.
- Que la alta dirección dedique recursos a su protección entendiendo que es importante que no se vea afectada para cumplir con los requisitos legales y los que afecten a sus grupos de interés.
- Dotarse de procesos específicos que se dediquen a “gestionar el riesgo” de ese activo vital.
- Analizar los riesgos a los que está sometida esa información en base al contexto interno y externo, es decir, cómo es mi organización y dónde está.
- Dotarse de un sistema de gestión que garantice que la seguridad de la información aporte valor a la organización en cualquier momento, es decir, que se adapte a las circunstancias cambiantes de la organización y su entorno.
¿Y por dónde empezar?
- Porque la dirección de tu organización entienda la necesidad y se dote de recursos para establecer un modelo de gestión específico que deberá llegar a la organización para quedarse, no se trata de una actividad puntual. No es enchufar algo, es gestionar.
- Por apoyarte en especialistas que te ayuden a trasladar a la dirección la necesidad y te asesoren sobre la manera de abordar el reto de manera eficaz y empleando los recursos adecuados, teniendo en cuenta tu contexto interno, externo y madurez. (También lo puedes hacer por tu cuenta, pero probablemente tardes más tiempo y no alcances los mismos resultados).
- Orientar la gestión de la seguridad de la información a modelos reconocidos internacionalmente y que aporten a tu organización unas garantías y reconocimiento. Los que empleamos habitualmente en nuestro entorno serían:
- ISO 27001. Este estándar internacional establece los requisitos que debe tener un Sistema de Gestión de la Seguridad de la Información (SGSI) y es certificable, es decir, una entidad de certificación acreditará que la gestión que realizas está alineada con los requisitos de la norma de referencia. Este tipo de certificaciones ofrecen garantías a tu dirección y a los grupos de interés que intervienen en tu negocio.
- Esquema Nacional de Seguridad (ENS). Si eres una Administración Pública o proveedor de soluciones y/o servicios de seguridad estás obligado por ley a su cumplimiento.
- Otro modelo que se utiliza por parte de proveedores de ciberseguridad es del CyberSecurity Framework (CSF) de NIST, perteneciente al Departamento de Comercio de los Estados Unidos, es un marco de referencia más específico desarrollado para la gestión de la ciberseguridad. Lo interesante de este framework es que se divide en distintas funciones impulsoras alineadas con el ciclo de vida de esta gestión:
- Identificar lo que tenemos que proteger.
- Proteger los activos de manera específica para minimizar la probabilidad de afección o el impacto.
- Detectar cuanto antes para minimizar tiempos de gestión y evitar el incremento de impacto.
- Responder ante un ataque específico de la manera más ordenada posible.
- Recuperar los sistemas afectados en el menor tiempo posible.
Conclusión
Independientemente del modelo específico de gestión que te ayudará a estructurar la actividad, lo fundamental es que la organización entienda que la seguridad de la información ya no se puede eludir. La generación de servicios o bienes está totalmente supeditada a la información que se emplea en su producción y cualquier afección a esta generará impacto de negocio.
