Blog - Seguridad | Corporativa

Usar puntuación: / 1
MaloBueno 

Por Luis Montenegro Mena, Consultor.

Sin duda alguna, la seguridad de la información pasó de ser una inquietud a ser una función más en el negocio de cualquier empresa o institución que maneje información valiosa de sus clientes. Ya sea el historial médico, los antecedentes financieros o cualquier otro tipo de dato de negocio, un conflicto o incidente de seguridad que ponga en riesgo datos como éstos puede desembocar en cuantiosas pérdidas para quienes soportan o administran dicha información.

En la siguiente seguidilla de artículos pondremos en la palestra varios puntos críticos sobre el que debería ser el gran desafío de toda organización que quiera incorporar la seguridad a su ADN corporativo: El compliance de seguridad.

Y para partir, cabe preguntarse: ¿Qué significa compliance? Como en muchas otras ocasiones, esta es una palabra de la lengua inglesa que guarda relación con el término “cumplimiento”. Y dentro de este contexto, el compliance apunta a una serie de requisitos mínimos que deben ser cubiertos para poder adoptar un nivel estándar de seguridad, que garantice – así como una ISO 9001 lo hace con la calidad – la seguridad no sólo de nuestros sistemas, sino que de nuestros procesos y de nuestra forma de acceder, editar, almacenar, distribuir y - en general – administrar los activos de información.

Y de aquí nace la segunda pregunta lógica. ¿Qué podemos definir por información? Un activo de información se va a definir como toda aquella cosa – tangible e intangible – que guarde relación directa o indirecta con cualquier dato cuya integridad, confidencialidad y disponibilidad deba ser garantizada por nosotros. Bajo esta definición, un activo de información suele pertenecer a las siguientes categorías:

• La información por si misma, como por ejemplo un correo electrónico, una hoja de papel con el detalle de los sueldos del área de servicios de una compañía, una presentación con la visión estratégica de un negocio o el resultado de una conversación informal donde un cliente entrega detalles importantes para adjudicarse un proyecto;
• Los medios físicos y lógicos que la soportan, como por ejemplo una base de datos, un servidor de correo electrónico, o un archivador con los contratos del personal de una compañía, o un portal de intranet (como SharePoint) y,
• Las personas que manejan dicha información, como el administrador de un sistema o un gerente de investigación y desarrollo.

Pues bien, uno de los primeros y más grandes desafíos que presenta el compliance de seguridad en cualquier compañía tiene que ver con la idiosincrasia de las mismas. Y de hecho, este fue el primer gran desafío al cual se enfrentaron las normativas de seguridad de la información a nivel mundial. Hace varios años atrás, la BS (British Standard) sacó uno de los más conocidos códigos de buenas prácticas de seguridad: BS7799 (Que de hecho, inspira la normativa chilena de seguridad de la información, la NCh 2777). Esta normativa puso en la mesa varios aspectos claves relacionados con la seguridad de la información. Sin embargo, uno de los problemas que tiene esta normativa – que de hecho, hereda la norma chilena – es la dificultad de poder adaptarla a la realidad única e irrepetible de nuestras empresas u organizaciones.

¿Por qué sucede esto? La respuesta a esta pregunta  no es tan simple, y establece uno de los principales paradigmas teóricos que tiene la seguridad de la información, y que corresponde a la dicotomía que existe entre la seguridad y la funcionalidad. Una de mis frases favoritas con respecto a la seguridad de la información es “no hay medida de seguridad popular”, y es que por lo general las visiones clásicas de la seguridad apuntan a las restricciones, y las restricciones lógicamente se transforman invariablemente en impactos directos o indirectos a la productividad de una compañía. O al menos, eso parece a primera vista, y es de hecho la percepción que tienen muchos usuarios en todos lados. ¿Es tan así? Este es un tema que da para un amplio debate; en lo personal pienso que en algunos casos, las restricciones de seguridad pueden ser un aporte a la productividad de una organización, puesto que disminuyen la posibilidad de fallas, minimizan el downtime de nuestras compañías y en muchos casos, hacen más rápido y expedita la operación de las labores de soporte y recuperación de nuestros sistemas. Sin embargo, otros resaltan – no sin justa razón – que en muchos casos las medidas de seguridad aumentan los tiempos de procesamiento de la información, afectando directamente el rendimiento o los resultados del negocio. Sin duda, es un tema que da para mucha discusión y que pretendo abarcar en artículos a futuro.

Volviendo al tema del compliance, existen varias instituciones internacionales que han hecho frente a este desafío de generar una normativa de seguridad que sea aplicable y que por sobre todo, sea tangible en su aplicación. Así, nos encontraremos con diferentes normativas y/o metodologías de seguridad las cuales podremos adoptar para nuestra organización. Si queremos iniciar un camino serio hacia la meta del compliance de seguridad, lo primero que tendremos que tener presente es la elección de un marco o metodología de buenas prácticas de seguridad a la cual adherirnos.