¿Seguridad Informática o Seguridad de Información?

Publicado en

Cada vez con mayor frecuencia escuchamos noticias relativas a fraudes, robos e incidentes relativos a la información. Es un hecho que la información se utiliza de mil formas, ya que a través de ella se define por ejemplo nuestra personalidad, nuestro estatus patrimonial, nuestro círculo social; basta ver como ejemplo el crecimiento de las redes sociales. Si lo revisamos desde una perspectiva organizacional se convierte todavía en algo más importante, ya que se traduce en nuestros secretos industriales, ventajas competitivas, situación financiera entre otros. Esto nos lleva a poder concluir que la información es uno de los activos más importantes de cualquier persona u organización.

Aunado a esto comienzan a tomar mayor fuerza una serie de regulaciones y requerimientos con respecto a la seguridad de la información. En México, por ejemplo, con el cumplimiento de la Ley Federal de Protección de Datos Personales en Posesión de Particulares que nos obliga a establecer mecanismos y procesos para proteger información.

La pregunta entonces es ¿por qué nos preocupamos tanto por la seguridad informática en lugar de la seguridad de la información? Me explico, cuando vamos a una organización y preguntamos por su seguridad siempre nos hablan de los firewalls que se tienen implementados, de los detectores de intrusos de última generación, de los 5 antivirus en paralelo y cualquier cantidad de controles físicos y lógicos que se puedan nombrar, pero cuando preguntamos por los procesos de negocio que se están protegiendo, de cual es el impacto que un incidente podría ocasionar, de cuales son las principales amenazas existentes, de cuales son los objetivos estratégicos de la organización, de qué motivadores existen para sufrir un ataque, es entonces cuando las respuestas comienzan a escasear y a no tener la precisión adecuada. Más preocupante aún, es cuando comenzamos a revisar en donde se encuentran las vulnerabilidades realmente y nos damos cuenta de que no es en los “fierros” (servidores, aplicaciones, bases de datos, etc). No estoy diciendo que estos controles no sean importantes —de hecho son muy importantes considerando que la mayor parte de la información que hoy manejamos se encuentra en formato digital— pero no son los únicos. Todos conocemos la expresión de que una cadena se rompe por el eslabón más débil. Preguntémonos entonces: ¿cuál es el eslabón más débil en la cadena que representa la seguridad?, ¿será la plataforma tecnológica (es decir lo que está cubierto por la seguridad informática)? En la gran mayoría de los casos, la respuesta es NO; el eslabón más débil somos las personas.

Por naturaleza somos confiados y con frecuencia no tenemos el nivel de conciencia suficiente para identificar los impactos en caso de un mal manejo de la información que divulgamos o utilizamos. Si a esto le agregamos que no siempre existen los procesos, políticas y componentes legales que definan cual es el adecuado uso de la información, entonces tendremos un muy buen sistema de seguridad informática y un muy mal sistema de seguridad de información.

De poco sirve contar con el mejor detector de intrusos y el mejor firewall, cuando estadísticamente está demostrado que el 70% de los problemas de seguridad son causados por personas internas; y la mayor parte de estos ni siquiera son con dolo o afán de causar un daño, sino debido a la falta de un marco adecuado de seguridad. Les propongo un experimento, revisen los botes de basura de sus organizaciones o de sus vecinos, se van a sorprender de la cantidad de información que está ahí, disponible para el que quiera utilizarla. Otro experimento, entren a un baño de una organización y quédense dentro de un cubículo escuchando lo que las personas comentan, igual se van a sorprender de la cantidad de información sensitiva que se divulga.

En resumen, tenemos que construir y contar con un sistema que nos garantice, dentro de lo posible, la seguridad de la información, el cual debiera de contar con los siguientes elementos mínimos:

  • Un entendimiento claro, preciso y priorizado de qué es lo que se va a proteger a nivel organizacional y cuáles son los riesgos existentes.
  • Un marco normativo que contenga las políticas y procesos que los usuarios de la información deberán de seguir y cumplir.
  • Un plan de capacitación y concientización para los usuarios y administradores de la información.
  • Por supuesto, los controles tecnológicos y físicos que protejan la información.
Bio
Carlos Kornhauser (@ckornhauser) es Director de GRC (Governance, Risk and Compliance) para Pink Elephant México. Cuenta con más de 20 años de experiencia en prácticas de Gobierno de TI, Seguridad de Información, Continuidad Tecnológica y Cumplimiento Regulatorio. En 2003 fue reconocido por Microsoft por diseñar la mejor solución de seguridad en Latinoamérica y una de las cinco mejores a nivel mundial.