En pleno siglo XXI, hablar de temas relacionados a tecnología, cyber-seguridad y seguridad de la información es algo común y por demás necesario.
Resulta ilógico pensar que en la actualidad alguna persona o empresa no utiliza información; la información está en todas partes y de una u otra forma todos la usamos.
Tener acceso a la información es tan simple como encender un teléfono “inteligente” y acceder a una gran variedad de sitios y páginas en internet para consultar, grabar y hasta compartir información.
Podemos también acceder a información impresa, revistas, periódicos, reportes financieros, planes de negocio, etc. (Incluso podemos acceder a información por medio de video y teléfono)
Tal y como le hemos comentado, existe información de individuos y empresas de fácil acceso o, dicho en otras palabras, información pública. Existe otro tipo de información que debido a la importancia de su contenido es considerada como información confidencial y por no ser encuentra a disposición de cualquier persona sino hasta que la alta dirección de la empresa lo considere pertinente. A manera de ejemplo, a continuación, se muestran algunos documentos que en un momento dado pueden considerarse como confidenciales o que contienen información confidencial (planes de expansión, adquisición de nuevos negocios/empresas o cierre de negocios o reducción de personal, etc.)
No basta con solo definir qué información es pública y cual es confidencial. Sin duda alguna es importante distinguir que tipo de información tenemos y quien podrá tener acceso a ella. Una vez realizada esta categorización, se deben establecer medidas robustas de seguridad de la información que aseguren que la información confidencial está debidamente administrada y que su acceso y difusión esta apropiadamente controlado.
Dada la importancia y cuidado que se debe tener alrededor de la información, los gobiernos de distintos países han emitido leyes y disposiciones específicas en materia de protección de datos.
La Organización Internacional de Estandarización (ISO) y la Comisión Electrotécnica Internacional (IEC), a través de la norma recogida en (ISO/IEC 27000), han establecido lineamientos para una implementación efectiva de la seguridad de la información empresarial.
En términos generales, ésta norma define a la información como un activo que, como otros activos importantes del negocio, tiene valor para la organización y requiere en consecuencia de una protección adecuada independientemente de la forma que tenga (impresa o escrita en papel, transmitida por correo o por medios electrónicos, almacenada electrónicamente o mostrada en video o hasta aquella información que es compartida telefónicamente).
La norma ISO 27001 propone un marco de gestión de la seguridad de toda la información existente en las empresas por medio de un enfoque sistemático y confidencial a efecto de que se mantenga segura. Este enfoque incluye tanto a personas que pueden ser consideradas como activos de información (si así se considera conveniente), procesos y sistemas de tecnología e información.
Al realizar una evaluación sobre la seguridad de la información, es necesario considerar a todo medio o personal de la empresa, proveedores externos y/o cualquiera otra figura que tenga acceso a la información confidencial.
Algunas empresas contratan los servicios de proveedores externos para el procesamiento, almacenamiento y/o destrucción de su información confidencial y que puede incluir información de sus clientes.
El daño que las empresas pueden sufrir por no asegurar que tanto su información como la de sus clientes cuentan con apropiadas medidas de seguridad es incalculable. Algunas empresas gastan grandes cantidades de dinero estableciendo controles y medidas de seguridad alrededor de su información. ¿Qué pasa cuando contratamos los servicios de proveedores externos?
Poco va a servir el esfuerzo realizado entorno a la seguridad de la información si no nos aseguramos de que nuestros proveedores externos cumplen con estándares mínimos de seguridad de la información, que han establecido controles robustos respecto a la confidencialidad, integridad y disponibilidad de información y que a su vez dan debido cumplimiento de leyes y reglamentos relacionados a la protección de datos.
Existen firmas de consultoría especializadas en la gestión de seguridad de la información y que realizan evaluaciones de seguridad de la información a terceras partes “proveedores”. En dicha evaluación se deben considerar como mínimo, los siguientes aspectos.
- Análisis de Seguridad. Considerar el potencial impacto de negocio/franquicia, pérdidas financieras, incumplimiento a leyes y regulaciones locales, nacionales e internacionales.
- Análisis de Geografía. Sitio o ubicación del servicio así como el riesgo de país, que en términos simples, podemos decir que es el riesgo de una inversión económica debido a factores específicos y comunes a un cierto país. Mide también el tono político, económico, seguridad pública, etc. (Si hay alguna guerra, si hay seguridad, tipos de impuestos, etc.)
- Análisis de Datos. Tiempo, volumen, frecuencia y método de transferencia y almacenamiento utilizado.
- Regulaciones aplicables al Proveedor. Origen del proveedor y tipo de regulaciones que le son aplicables (Locales, Nacionales y/o Internacionales).
- Control de Desarrollo del Software. Metodología y desarrollo del código fuente.
- Impacto Financiero. Medición de pérdidas en ingresos, activos e impacto contable.
- Impacto al Cliente. Medición de afectaciones directas en los servicios proporcionados a clientes.
- Impacto Regulatorio- Legal. Existencia de sanciones y/o procesos legales.
- Impacto a la Franquicia. Existencia de pérdidas de imagen y/o reputación.
Contar con la ayuda de expertos en la materia que ayuden al establecimiento de herramientas para una adecuada gestión de riesgos, es uno de los elementos clave en la prevención del fraudes. Sin un marco de gestión de riesgos sólida, las organizaciones se exponen a múltiples amenazas, incluida la informática.
