Por: Fabricio Cadena Macías
CIO DEL GRUPO LA GANGA, CONSULTOR Y ASESOR EN TICS

En el cambio continuo del entorno de los negocios de hoy, es claro que luego del recurso humano, la información es el activo más importante de toda empresa.

En los últimos años, se han presentado en gran número los casos de pérdida de privacidad por causa de mal uso de la información o ataques cibernéticos, lo que se traduce en graves consecuencias legales y prestigio negativo en valor de marca.  Muchos CEO piensan que estos problemas de seguridad no le van a pasar o únicamente provienen de afuera de su organización, lo cual es incorrecto; los problemas de seguridad pueden ser de origen externo e internos y es muy probable que le suceda.  En mis años de experiencia, he notado que el mayor punto débil está en la parte interna; empleados a los que no se les da ninguna capacitación sobre seguridad, no se les indican en detalle la política de seguridad de la empresa, si es que la poseen. Si a esto se le añade la falta de mecanismos de seguridad actualizada en servidores o computadores de oficina, más las carentes políticas de desarrollo seguro de software, los riesgos son muy altos. Las soluciones de seguridad deben tomar decisiones inteligentes en tiempo real para mitigar los ataques cada vez más avanzados contra las aplicaciones en donde las empresas terminan comprometiendo la información y, con ello, poniendo también en riesgo la confianza de los clientes.

Los tiempos de lanzamiento de nuevos productos y servicios para crear ventajas competitivas hoy es una práctica común; pero ¿cuál es el costo para la seguridad? Crear programas seguros puede ser increíblemente difícil, entre aplicaciones web o móviles y sean internas o en la nube, abarcan un gran espectro de plataformas.  

Recientemente en Ecuador se han publicado casos de ataques a empresas privadas y públicas.  Se han obtenido datos de clientes o falta de disponibilidad de algún servicio.   Creo que cuando una empresa es atacada, no se trata únicamente de levantar la operación y listo no pasó nada, pero me pregunto: ¿qué pasa con los datos que pudieron ser extraídos? Como persona de TI sé que es posible activar los planes de recuperación, pero los datos se perdieron y el uso sobre ellos nos puede afectar, recordemos que los clientes nos confiaron sus datos. 

Estos ataques pueden provocar graves afectaciones en servicios.  Por citar un ejemplo en USA, cuando el banco Lehman Brothers se declaró en banca rota, desencadenó la crisis financiera hace 13 años; entonces los reguladores se enfocaron en la capacidad de los bancos para resistir las crisis financieras.  Pero la próxima crisis podría ser un ataque cibernético que causaría problemas en las capacidades de los servicios financieros en todo el mundo, especialmente en los sistemas de pagos, tal como Hollywood nos ha querido mostrar en algunas de sus películas.

Si bien las computadoras e Internet les brindan muchos beneficios a las empresas y no podemos imaginar un sector o industria sin el uso de tecnología en alguno de sus procesos, estas tecnologías no están exentas de riesgos.  Algunos de ellos, como el robo físico de equipos y los desastres naturales, se pueden reducir o controlar si uno se maneja con cautela y precaución, como dicta el sentido común.  Así y todo, los riesgos resultantes del crimen cibernético, como el robo de información que luego se vende en el mercado negro, son más difíciles de controlar.  Muchas veces las brechas de seguridad están en casa, empleados que descargan “bases de datos” para hacer algún trabajo y luego las venden.  Es conocido en Ecuador que se pueden comprar las bases de datos de varias instituciones, es cuestión de abrir un buscador y escribirlo. Es una práctica que no comparto y que muchos las ven normal para “gestionar” prospectos de clientes.

La ley de protección de datos que entró en vigencia en mayo de este año en el país hace que las empresas también deban estar pendiente de que la información sea utilizada por quien deba y no pueda ser usada para otro fin que su operación.

Entonces, ¿cómo se protege lo que no se puede ver? Las organizaciones deben adoptar nuevas estrategias y confiar en la automatización para salvaguardar los entornos y las aplicaciones en rápida evolución

¿Qué podemos hacer?

La seguridad de la información siempre ha sido un desafío muy importante para el conjunto de las organizaciones. Desgraciadamente, las organizaciones se olvidan muy a menudo que la seguridad de la información es mucho más que la simple utilización de las tecnologías –hardware y software-. En realidad, debería ser un proceso de gestión continua de riesgos que cubra toda la información que debe ser protegida.

Ante esta situación, se hace necesario que cada empresa establezca una estrategia de administración de riesgos operativos que abarque la seguridad de sus datos.  Por lo tanto, es recomendable asignar a un responsable de la coordinación de los esfuerzos de implantación y el control de esta estrategia.  Esta persona debe contar con un amplio conocimiento de tecnología –no sólo de la utilizada en la empresa, sino también de la del mercado- y de los procesos principalmente del negocio, aunque hay que reconocer que en ocasiones resulta difícil encontrar estas características en una sola persona. Entre las actividades de las cuales sería responsable, estaría la definición de una política corporativa con los lineamientos a seguir por la organización –autorizada y apoyada por la dirección general, sin este requisito sería una pérdida de dinero y esfuerzos-, y la vigilancia para el cumplimiento de estos lineamientos –de forma individual o en conjunto con el equipo de auditoría interna-.

Una política con estas características representa, sin duda, un compromiso para todos los integrantes de la empresa, y es imprescindible que forme parte de la estrategia institucional.  Incluso se vislumbra necesario establecer un marco de referencia para implementar una estrategia de protección de la información.

Adicionalmente, las empresas deben implementar sistemas que les detengan la propagación de un ataque cibernético y reanudar las operaciones de la manera más rápida posible.  Las regulaciones deben de tratar de crear un marco de tal forma que estemos preparados y reducir en lo posible las consecuencias negativas.  En la Unión Europea se tiene la Directiva para la Seguridad de Redes y Sistemas de Información, que está diseñada para proteger una lista cada vez mayor de infraestructuras críticas desde sistemas bancarios y de atención médica a mercados electrónicos y servicios en la nube.  En Latinoamérica deberíamos de replicar este ejemplo.

Lo mencionado no hace referencia sólo a aspectos técnicos, sino a aquellos otros que están orientados a los procesos y recursos humanos en las organizaciones. De igual manera, para asegurar la protección de la información y diseñar los controles que mitiguen los riesgos, es necesario considerar tres conceptos: 

  • Confidencialidad, orientada a la protección de la información clasificada como no pública, de modo que no tenga acceso a ella personas, recursos o sistemas no autorizados. En otras palabras, esta clase de información no puede divulgarse sin la autorización expresa del dueño de ella.
  • Integridad, encaminada a la prevención de modificaciones no autorizadas a la información, a cargo de personas, procesos o sistemas. En caso de que se autorice a modificar la información, es necesario garantizar la precisión y consistencia de los datos clave, para mantener su validez.
  • Disponibilidad, orientada a la utilización de la información en el momento en el que las personas, procesos o sistemas autorizados la requieran, sea para consultarla o modificarla.

Estos tres elementos de protección son esenciales para definir los controles a implantar, sean estos administrativos, a manera de políticas y procedimientos; físicos, en la forma de oficiales de seguridad; o técnicos, como el hardware y software adecuados.  Para definir el uso de uno o de todos los tipos de controles, hace falta establecer una relación equilibrada entre su costo y el beneficio o valor de la información protegida, aunque la mayoría de CEO ven la seguridad como gasto y no prevención, cuando deberían de hacerse la misma pregunta cuando contratan un servicio de salud pre pagada personal o familiar.

Conclusiones.

La seguridad de la información puede hacerse aún más eficiente si se asignan los recursos suficientes para establecer un plan de capacitación y concientización de personal, a través del cual se den a conocer las políticas, controles y lineamientos mínimos de seguridad que deberán cumplir tanto los empleados existentes como los de nuevo ingreso.  Y es que una participación del personal permite adecuar los controles, de acuerdo con las condiciones específicas de cada empresa y área de trabajo.

Recordemos que hoy las empresas y sus servicios están interconectadas y, como consecuencia, las amenazas también lo son.  Las compañías deben intentar comprender que sus sistemas dependen de los productos y servicios de otras empresas; un estudio detallado de sus procesos encontrará muchas más dependencias críticas de lo esperado.  Las compañías deben esperar ser atacadas, en otras palabras, estar a la defensiva y desarrollar medios para detectar interferencias tan pronto como comiencen y encontrar formas de mitigarlas.

La implantación de un programa de seguridad debe considerar no sólo a la tecnología, sino a las personas, ya que son ellas quienes administran la información y, en general, el eslabón más débil.  De esta forma, se obtiene un nivel de cumplimiento mayor y una efectiva mitigación de riesgos.

Bibliografía.

https://www.oecd.org/sti/ieconomy/digital-security-risk-management.htm

https://www.sans.org/blog/goals-and-objectives-where-to-start-with-your-awareness-program/