Revista Channel News - La fuga de información y su relación con el mundo corporativo

Gabriel Marcos, Gerente de Data Center, Seguridad y Outsourcing Latinoamérica Global Crossing.

COLUMNA DE OPINION

La fuga
de información y su

relación con el mundo corporativo

Cualquier profesión nace de una forma particular de ver el mundo; incluso hasta nuestros sentidos se basan en la percepción de una porción en particular pero limitada de todo lo que ocurre a nuestro alrededor. El entrenamiento como profesional de la seguridad de la información no es la excepción: fundamentalmente, se aprende a percibir el mundo en función del riesgo y su análisis, y todo lo demás es consecuencia de realizar ese cambio de mentalidad.

Es por eso que, más allá de todas las cuestiones diplomáticas, políticas, sociales y económicas, relacionadas con el denominado escándalo de las filtraciones de información confidencial, que tanta atención mediática están recibiendo, como profesionales de la seguridad de la información deberíamos preguntarnos: ¿cuál es el riesgo de que esto ocurra en mi organización?

Es evidente que cuando se habla de los enormes riesgos económicos asociados a la imagen de una sola empresa y de una marca en particular, esto parece un problema menor si se compara con la situación a nivel de un país en un mercado globalizado, y su impacto en todas las áreas de negocio y las empresas que podrían verse afectadas simultáneamente.

Tratemos de ver la cuestión desde los tres pilares sobre los que se apoya cualquier estrategia asociada a las tecnologías de la información; esto es: "Personas", "Tecnologías" y "Procesos".

Desde el punto de vista de las personas, es notable que en algunos medios hay quienes consideran un "héroe" a la persona que produjo las filtraciones.

Desde el punto de vista de la seguridad de la información, ¿qué diferencia existe entre la conceptualización de héroe que se le da a esa persona, y la que se le da en el día a día a quien, por ejemplo, descubre la forma de evitar una política corporativa para instalar una aplicación prohibida, distribuyendo esta información entre sus más allegados? En definitiva, la motivación psicológica pareciera ser muy similar.

Sin duda, la mejor estrategia es convencer, lo cual está directamente relacionado con comunicar y negociar; no creo que puedan existir estos tres conceptos por separado, y no conozco ningún caso en que la aplicación de unos sin los otros haya funcionado sostenidamente en el tiempo.

Obtener el compromiso de la gente requiere de un esfuerzo mayor al que conduce a redactar y publicar documentos con políticas de seguridad, pero es imprescindible si queremos garantizar que esas políticas tengan un impacto positivo y duradero en la organización.

Sin embargo, con eso no basta: invertir en tecnología y asegurar que esa inversión esté alineada al negocio de la organización, es solamente una parte del problema; también es necesario entender de qué forma es mejor aplicar esas inversiones, para obtener el mayor beneficio tecnológico posible.

Por último, cuando se analiza una cuestión desde el punto de vista sistémico y sus procesos asociados, se entiende que detrás de cada error existe un proceso mejorable, y es hacia ahí donde deben enfocarse los principales esfuerzos.

La seguridad de la información posee un marco definido y probado para la gestión integral de los aspectos principales que la conforman (Confidencialidad, Integridad, Disponibilidad), que es el sistema de gestión definido por la norma ISO 27001; alrededor de este sistema de gestión, es posible aplicar e integrar otras normas y recomendaciones sobre aspectos específicos como la continuidad del negocio, el gobierno o la gestión de servicios de IT, por nombrar solamente algunas; y su implementación a nivel organizacional requiere de varios años hasta alcanzar su madurez.

En cualquier caso, la combinación de técnicas, herramientas y sistemas de gestión que integren enfoques desde el punto de vista de las personas, los procesos y las tecnologías, ha probado ser el método más efectivo hacia lo mejor que podemos aspirar en cuanto a la seguridad de la información: reducir el riesgo a un mínimo aceptable para la continuidad (¡y el crecimiento!) del negocio de la organización.