La importancia de una Política de Seguridad de la Información

¿Que debe incluir una buena una buena Política de Seguridad de la Información ISO 27001?

Qué duda cabe que la tecnología juega un papel principal, y hasta me atrevería a decir, irreemplazable en la vida diaria de la gran mayoría de personas actualmente, pues ha re definido la forma en que estábamos acostumbrados a hacer muchas actividades como comprar, vender, compartir información y hasta entretenernos.

Sin lugar a dudas estamos viviendo una nueva era, como lo fue la revolución industrial en su momento, una era de conectividad, de tiempo real, de realidad virtual y aumentada, de automatización y de aplicaciones móviles para casi todo. Esta revolución si bien es cierto trae enormes beneficios y ventajas, también genera muchos riesgos asociados con la exposición de nuestros datos e información que tienen que viajar de un lugar a otro, y como consecuencia plantea un gran reto en el aspecto de Seguridad de la Información a las organizaciones de todo tipo, privadas y públicas, grandes y pequeñas, con o sin fines de lucro.

Estándares y Buenas Prácticas en la Seguridad de la Información

Las organizaciones de todo tipo están cada día haciendo un uso más intensivo de la tecnología, colocando a disposición de sus clientes y usuarios plataformas para hacer prácticamente todo: compra y venta de productos, emisión de documentos y certificados con valor oficial, transferencia de dinero, entre otros; por lo tanto, tienen el deber de proteger y asegurar todos los datos e información que consiguen de sus clientes y es en este contexto que las buenas prácticas y estándares relacionados con la Seguridad de la Información se hacen más necesarios que nunca.

Empecemos explicando algunos conceptos, respondiendo a las siguientes preguntas, tomando como base a la ISO (International Standard Organization).

¿Qué es la información?

Según la norma ISO 27001, información es un conjunto de datos organizados en poder de una entidad que posea valor para la misma, independientemente de la forma en que se guarde o transmita, de su origen o de la fecha de elaboración. Siempre, según ISO 27001, los tipos de información se clasifican en: impresa o escrita en papel, guardada electrónicamente, transmitida por correos o medios electrónicos, publicadas en la web, en video o verbal.

¿Qué es el valor de la información?

Según ISO 27001, la información, junto a los procesos y sistemas que hacen uso de ella, es un activo vital para el éxito y la continuidad de cualquier organización.

¿Cómo se consigue la Seguridad de la Información?

Según ISO, se consigue a través de tres aspectos principales, Integridad, Disponibilidad y Confidencialidad. Definamos de una manera sencilla cada aspecto.

• Integridad: La Integridad tiene que ver con asegurar que la información (que viaja de un lugar a otro) llegue a su destino tal cual salió del origen, es decir, que no haya sido vulnerada o modificada en el trayecto. Una buena Política de Seguridad de la Información debe contemplar los mecanismos que aseguren que la información no esté expuesta a ser modificada o vulnerada en su trayecto, algunos de estos mecanismos pueden ser las técnicas de Encriptación o Cifrado de los datos.
• Confidencialidad: La Confidencialidad tiene que ver con asegurar que la información sea recibida y leída solo por las personas a quienes va dirigida dicha información. Es decir, que si se envía un mensaje (que puede contener la clave bancaria en un pago vía web) éste sea solo recibido y leído por el destinatario correcto (Para el ejemplo, el banco dueño de la cuenta bancaria) y por nadie más. Una buena Política de Seguridad de la Información debe contemplar los mecanismos que aseguren la Confidencialidad, algunos de estos mecanismos pueden ser los Certificados Digitales o los Tokens.
• Disponibilidad: La Disponibilidad tiene que ver con el hecho de asegurar que la información esté disponible siempre que sea requerida.

Habiendo entendido los conceptos clave de Seguridad de la Información, es importante resaltar que ésta no sólo se consigue con herramientas tecnológicas costosas, lo más importante es contar con un modelo robusto de gestión de Seguridad de la Información que debe contemplar procesos y procedimientos adecuados y la planificación e implantación de controles de seguridad que regulen tanto los activos tecnológicos como a las propias personas, quienes finalmente somos los responsables de generar muchas veces los riesgos asociados a la exposición de información. Tenga siempre en cuenta la siguiente premisa: “Las personas son el lado MÁS DÉBIL de la Seguridad de la Información y lo MAS DIFÍCIL de controlar”.

Una buena Política de Seguridad de la Información debe contemplar directivas y controles para asegurar cosas tan sencillas como, por ejemplo:

• Longitud y dificultad de contraseñas.
• Respaldo (backup) periódico de la información.
• Auditorias a los sistemas de información en búsqueda de posibles vulnerabilidades.
• Transporte de información en contenedores no adecuados (memorias USB, discos externos).
• Uso de dispositivos no seguros dentro de la organización (equipos móviles personales sin protección o antivirus).
• Entre otros.

Finalizo este articulo resaltando una vez mas la importancia de contar con una Política y Sistema de Gestión de Seguridad de la Información basada en estándares y normas de probado éxito a nivel mundial, como la ISO 27001. Hoy en día, en esta era tecnológica y en un contexto en el que cada vez más organizaciones viven un proceso de transformación digital, la seguridad es vital para poder proteger el activo más importante que tenemos, nuestra información. No se requiere de grandes inversiones en tecnología, sino de tener clara la necesidad de contar con una política adaptada a la necesidad, todo en su contexto y de acuerdo a la realidad de cada organización.