por Pablo Sartor

El manejo de información plantea diversos desafíos que normalmente se agrupan bajo el término de “seguridad”. Uno Leer más..." />

Un espacio para aprender que no es necesario ser una empresa grande para ser una Gran Empresa
Home » Sistemas de Información y Tecnología » De qué hablamos cuando hablamos de seguridad de la información?

sistemas de informacionpor Pablo Sartor

El manejo de información plantea diversos desafíos que normalmente se agrupan bajo el término de “seguridad”. Uno enseguida los asocia con los sistemas informáticos, pero es interesante tener presente que existen desde tiempos inmemoriales. Veamos ejemplos según una clasificación habitual. a) Confidencialidad: impedir el acceso a personas no autorizadas (pergaminos bajo llave). b) Autenticación: determinar quién es el interlocutor antes de revelarle información (documento de identidad). c) No repudio: cómo impedir que una persona niegue su participación o connivencia respecto de un documento (firmas manuscritas, sello real). d) Control de integridad: cómo asegurarse de que cierta información es genuina y no fue modificada.

Ahora bien, es indudable que con la llegada de la era digital, los riesgos que todos estos problemas conllevan se han visto exacerbados. Considere la posibilidad de robar información (ejemplo de confidencialidad). Otrora esto implicaba hacerse de papeles, biblioratos, documentos, y buscar la forma de sacarlos inadvertidamente. Hoy en día un pen drive o un celular pueden llevarse una cantidad de datos millones de veces más grande sin llamar la atención. Más aún, puede hacerse de modo 100% invisible si es a través de internet, la red inalámbrica de la empresa o cualquier otro medio electrónico de comunicación. También estamos peor en cuanto al tiempo necesario para copiar información. Lo que antes era memorizar, copia a mano o fotocopiar, ahora implica esperar solo unos segundos para llevarse varios GB de datos. Y tomar unas fotografías es muy fácil y discreto con un celular.

De todo, menos glamorosa

Los esfuerzos e inversiones en seguridad tienen un problema congénito: no son glamorosos, no lucen, no se notan. Como la limpieza. Más aún, son hasta algo molestos. Piense en cómo enlentece su Windows el antivirus, el fastidio de las contraseñas que vencen, los protocolos de seguridad para embarcar en los aeropuertos, etc.  Gastar en más seguridad suena poco sexy cuando el mismo dinero se puede destinar a promocionar mejor los productos, mejorar su calidad, innovar o desarrollar un canal. Habitualmente se percibe a la seguridad como algo que “los de TI nos deben proporcionar”. La combinación de presiones que otras gerencias ejercen sobre el departamento de TI para agregar valor y la dedicación frecuente a “apagar incendios” de dicho departamento forman el caldo de cultivo perfecto para las fallas de seguridad.

Lectura relacionada  Cuáles son las barreras para la transformación digital, y cómo tu empresa puede superarlas

No es un problema de TI

Las graves consecuencias potenciales de los problemas mencionados justifican a priori que la seguridad deba ser una preocupación de todas las gerencias y no solamente “una cuestión para los de TI”. Que se preste la atención debida a estos asuntos no es algo que se dé por sí solo. La recomendación básica es que exista un responsable bien establecido, que no necesariamente tiene que ser un profesional de TI. Por supuesto que es necesario involucrar a los expertos para conocer las nuevas amenazas y las formas de enfrentarlas, pero tan importante como esto es comprender cómo pueden afectar al negocio para así determinar cuánto y dónde es conveniente invertir. Hay tres fases básicas de la gestión de la seguridad, que se recomienda repasar periódicamente. Sus aspectos técnicos están muy estudiados y estandarizados mediante normas, certificaciones y buenas prácticas; lo más difícil es la ponderación de los efectos para el negocio y las inversiones consecuentes, para lo cual se requiere profundo conocimiento de la empresa en cuestión. Las fases son: a) Evaluación de riesgos: entender cuáles son las fallas que pueden darse y cómo afectarían al negocio. b) Análisis de riesgos: cuantificar de algún modo el impacto negativo para el negocio que puede tener cada una de las fallas anteriores. c) Mitigación de riesgos: definir las respuestas adecuadas para las amenazas identificadas; es decir, buscar el mejor compromiso entre el grado de seguridad que se alcanza y el costo total de lograrlo, teniendo en cuenta el impacto negativo que las amenazas tendrían de materializarse.

El factor humano

Habitualmente se dedica mucho esfuerzo a los problemas de orden más técnico, como prepararse contra ataques de negación de servicio, hackers, intentos de adivinar contraseñas, criptografía, dispositivos que bloquean tráfico considerado improductivo, innecesario o peligroso, protección contra software maligno (virus, spyware, malware en general) y un largo etcétera. Pero en la práctica, y abunda la evidencia, los problemas vienen más por el lado de las personas. Tanto por el uso negligente de los recursos como por actos malintencionados, y es llamativa la poca atención relativa que se pone a esta clase de riesgos (¿no le vienen a la mente casos como el de Wikileaks y Snowden?). Este desbalance obedece a que a) es más fácil tratar con lo técnico que con lo humano; b) particularmente si esta responsabilidad recae “en los de TI”; c) prevenir los ataques internos refiere mucho a la cultura, clima organizacional, prácticas de RR.HH., en definitiva asuntos muy complejos y discrecionales. En línea con esto y a modo de recomendación, puedo decir que los mejores planes de seguridad que he visto implementados dividen la participación entre profesionales de TI y de la dirección de RR.HH.

Lectura relacionada  Sistema ERP mexicano ayuda a las Pymes a ser más competitivas

Publicado en Café & Negocios, El Observador, 21 de agosto de 2013.

Si te gustó el artículo y la temática del Blog por favor sería muy interesante

 para todos que nos dejes tu comentario.

Además, puedes recibir todos los artículos completos en tu buzón de e-mail

ingresando tu dirección de correo en:

suscribete

Tu dirección de e-mail solo se utilizará para mandarte la actualización del blog diariamente.

Ten la precaución de escribir bien tu dirección y luego debes confirmar la suscripción aceptando un mail que recibirás en tu casilla desde Feedburner. Sólo entonces estarás realmente suscripto !!

Muchas gracias por acompañarnos.

Puedes encontrar MUCHO más material relacionado a este tema que te interesa en nuestro Blog Grandes Pymes

http://jcvalda.wordpress.com

Si quieres ver más posts de la misma categoría, haz click aqui:


Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.