Sin lugar a dudas, es necesario comenzar a hablar de seguridad de la información y no de seguridad informática, para no limitarla sólo a conceptos relacionados con la informática. Este trabajo responde algunos temas claves, y plantea que una política de seguridad adecuada hace a una “buena práctica empresarial”.
¿Porqué seguridad de la información y no seguridad informática?
La seguridad de la información protege a la información respecto a una amplia gama de amenazas a fin de asegurarle a la organización que los riesgos, los daños y el impacto sean mínimos, además de asegurar que la rentabilidad o relación costo/beneficio sean los mejores.
Confidencialidad: asegurando que solo podrán acceder a la información (usarla, leerla o escucharla) las personas autorizadas.
Integridad: asegurando que la información con la que se trabaja sea completa y precisa, poniéndole énfasis en la exactitud tanto en su contenido como en los procesos involucrados en su procesamiento.
Disponibilidad: asegurando que la información estará disponible siempre que usted o cualquier otra persona autorizada necesite hacer uso de ella.
Si alguien roba un activo de información (laptop, informe, disquete, etc.), una persona no autorizada podría leer y difundir la información contenida. Desde esta situación podemos aseverar, en principio, que esta en peligro la confidencialidad de la información.
Ahora si la persona no autorizada, corrompe, modifica o borra la información contenida, impactaría directamente en problemas de integridad. Finalmente, si la información contenida no fue copiada en otro soporte a modo de resguardo (backup), podrían sucederse problemas de disponibilidad, dado que ninguna persona accedería a esta información.
¿Cuál es la importancia de la seguridad de la información?
1. Presté mi clave y mi tarjeta de acceso a un compañero de trabajo, y este encontró información confidencial sobre planes estratégicos de la empresa, sin saberlo, lo divulgó entre sus amigos, uno de ellos es empleado de la competencia, y utilizó esta información mostrándosela a sus jefes que se apoderaron del plan y salieron primero en el mercado. Nuestra empresa perdió millones de pesos.
2. Bajé unas fotos y otros archivos de Internet, sin tomar la precaución de pasarles un antivirus. Al parecer estos archivos tenían un virus “gusano” que deterioró la red dejándola inactiva por mas de una semana.
3. Un empleado de limpieza, durante la noche, descubrió papeles con información confidencial en los cestos de los directivos de la empresa. Estos papeles contenían información de los clientes actuales, y los próximos pasos a seguir con relación a un nuevo producto. Dicha información fue “vendida” a una empresa competidora.
- Vaya a parar a las manos equivocadas
- Se pierda irremisiblemente
- Se utilice con fines no autorizados
La confidencialidad, integridad y disponibilidad de la información puede resultar esencial para mantener la competitividad, flujos de caja, rentabilidad, cumplimiento jurídico e imagen comercial de la organización.
Las organizaciones y sus redes de información (informáticas o no) deben afrontar cada vez en mayor medida las amenazas en lo que a seguridad se refiere: fraudes por computadora, virus, delitos informáticos, robo de información interna, hackers, crackers, sabotaje, espionaje, vandalismo, etc. Estas amenazas van avanzando día a día con el avance de la tecnología, y se vuelven más sofisticadas de detener.
Las vinculaciones de redes internas de la organización con otras redes externas (Extranet, Internet, Redes públicas), dificultan el proceso de control de accesos, obligando a que sean más rigurosos en relación a las personas y los activos que ellas utilizan.
La seguridad de la información es un proceso que evoluciona con toda la organización, si bien esta coordinada y centralizada en el departamento de seguridad (IRM – Information Risk Management), involucra el compromiso de todas las personas de la empresa, incluso en muchos casos es extensivo a los clientes y proveedores de la misma (cadena de valor completa).
Si bien existen medios tecnológicos o técnicos que permiten mejorar la seguridad, actualmente no son suficientes por si solos, debemos complementarlos con un detallado análisis de los puntos de riesgo, una cuidadosa planificación de los controles a realizar, una gestión de seguridad que involucre a todos y una adecuada implementación de procedimientos de acuerdo a lo relevado.
¿Qué relación tiene esto conmigo?
La seguridad de la información es asunto suyo. Usted es directamente responsable de su manera de tratar las cuestiones de seguridad.
Tratar la seguridad de la información de manera correcta, de acuerdo con las normas y principios, es una buena práctica empresarial.
De esta forma se muestra a los clientes, accionistas y proveedores que pueden confiar en la empresa, puesto que sus empleados actúan con integridad y profesionalidad.
La seguridad de la información es, con frecuencia, tan solo una cuestión de disciplina y algo que deberíamos recordarnos los unos a los otros.
Oscar Schmitz CXO Community
Especial para Infobaeprofesional.com
No hay comentarios:
Publicar un comentario