Cuando se trata de la seguridad de la información, muchas organizaciones confían fuertemente en un enfoque táctico y operativo. La enorme cantidad de presupuestos y recursos se dirigen a soluciones técnicas como los firewalls y filtros para mantener alejados a los hackers o piratas informáticos, a los que se dedican a enviar correo basura o spam, o a quienes utilizan el correo electrónico para obtener datos e información de manera ilícita (phishers). Pero la amenaza mayor para la información de una organización ya está dentro del firewall. Son los propios empleados y su interacción diaria con información crítica lo que representa el mayor riesgo.
De hecho, el 80% de todas las violaciones de la seguridad son cometidas por aquellos que trabajan dentro de una organización o empresa. Estas se producen de varias formas, como cuando los empleados se llevan trabajo a la casa en un esfuerzo por ser más productivos o cuando comparten información de la compañía con personas ajenas a la empresa porque no se dan cuenta de que ésta es delicada.
Proteger un negocio o una compañía de las amenazas internas no es una hazaña menor. Sin embargo, existen medidas proactivas que las empresas u organizaciones pueden adoptar para disminuir el riesgo. No alcanza con sólo reaccionar frente a este problema. Es mucho lo que está en juego. La clave está en repensar la manera en que se maneja la información confidencial o secreta e instituir un sistema de gestión de vida útil para obtener seguridad ‘legal’ para estos activos más importantes. Primero, comprender la complejidad y el alcance de la seguridad de los datos y luego adoptar un enfoque estratégico que proporcione nuevos niveles de control y responsabilidad.
Mantener el ojo en la pelota
Una de las primeras cosas que deben hacer las empresas u organizaciones para protegerse a sí mismas y proteger su futuro es capturar la información crítica en el punto de origen, lo cual puede ir desde el primer memorándum sobre el lanzamiento de un producto hasta el momento en que el área de investigación y desarrollo inventa una nueva idea. Las empresas a menudo dejan caer la pelota en esta etapa crítica y la información confidencial que impulsa la rentabilidad sale por la puerta y se pierde para siempre.
En la economía actual, las compañías y las organizaciones buscan maneras de bajar los costos, aumentar las ganancias e incrementar el valor de los accionistas. Pero, ¿qué pasa con la confianza de un cliente y un accionista cuando un hecho desafortunado de seguridad o privacidad aparece en primera plana? Las empresas o las organizaciones no pueden darse el lujo de reaccionar sólo frente a lo que ocurre a su alrededor. Deben adoptar un enfoque proactivo en cuanto a la administración de la seguridad de los datos, que proteja los activos de información contra un espectro muy amplio de amenazas internas y externas.
Para que este enfoque tenga éxito, la alta gerencia debe impulsar la creación de políticas y procesos de seguridad, y establecer las metas y objetivos generales para la seguridad en todo el ámbito de la empresa. Este enfoque de arriba hacia abajo debe ser liderado por una persona muy comprometida, como puede ser un CIO (gerente general de sistemas) o gerente de tecnología informática, que tenga poder para lograr la aceptación y el compromiso de las comunidades de intereses de toda la compañía y en todos los niveles.
Otro elemento muy importante para este liderazgo es el compromiso de los usuarios finales y los expertos en tecnología que trabajan con sistemas de información diariamente. Ellos tienen un profundo conocimiento y comprenden muy bien las fortalezas y debilidades de sus respectivos sistemas y qué se necesita para protegerlos. Se requiere mucha interacción y cooperación para transformar un sistema en un plan maestro que se utilizará para implementar el programa de seguridad.
Ser estratégico
No existe una caja negra ni una bala de plata cuando se trata de la seguridad de la información. Ningún proveedor está en condiciones de atender todas sus necesidades y todos sus problemas relacionados con la seguridad de la información. Es por esto que ésta se considera un arte y una ciencia, por lo que generalmente se requiere la ayuda de expertos. A medida que las empresas y las organizaciones trasladan sus operaciones a las redes globales en línea, incluyendo las operaciones offshore y de tercerización, es preciso recordar siempre que una cadena de seguridad es sólo tan resistente como su eslabón más débil. Es necesario contar con un programa efectivo de gestión de seguridad de la información para identificar y controlar el riesgo que se introduce en la empresa cada día a través de las personas, los procesos, la tecnología y los diversos modelos de negocios.
Este artículo continuará en la siguiente edición.
Algunos datos sobre el autor
David Drab se desempeña como Líder de Pensamiento y Jefe en el área de Servicios de Seguridad de Información y Contenidos para Xerox Global Services, en donde desarrolla tecnologías de seguridad para una extensa gama de clientes. Es un veterano que lleva 32 años exigiendo el cumplimiento de la ley, incluyendo 27 años de trabajo en el FBI (Federal Bureau of Investigation). Mayor información sobre su trabajo en www.xerox.com/thoughtleadership_drab
