Cuando muchos de nosotros éramos pequeñitos, aparecieron por nuestras casas los primeros ordenadores, donde jugando empezamos a hacer nuestros pinitos informáticos y de ahí, en tiempo récord, nos plantamos a algo que se denominó “la era digital”: ordenadores por doquier en empresas, el nacimiento de redes de ordenadores locales, la aparición de Internet que supuso incorporar “e-“ en el vocabulario (e-mail, e-business, e-commerce, e-learning, etc.), todo para conseguir intercambiar información de forma ágil y rápida, sin barreras espaciales o temporales. ¡Se trataba de interconectar el mundo!.
Para tener acceso a la información, entonces, la principal preocupación era disponer de una tecnología adecuada, unos sistemas lo más estables posibles, la estandarización de plataformas en pro de la accesibilidad, la velocidad de las comunicaciones,... hasta hoy, donde cobra importancia el término seguridad, existiendo una creciente preocupación dentro de la sociedad por todo lo que implique “seguridad digital”.
¿A qué se debe el cambio? A la importancia de la información en sí. Si antes su valor se manifestaba con la necesidad de dotarse de los mecanismos y herramientas necesarios para poder disponer de ella, ahora lo que importa ya no es solo conseguir información y tratarla, sino gestionarla adecuadamente, no perderla. Aquí es cuando aparece el concepto de “seguridad de la información”.
Pero volvamos a nuestra “era digital”... aparecen nuevas tecnologías capaces de interconectarse y también gente joven, curiosa, a la que le encanta cacharrear y probar sus habilidades... los ya conocidos hackers, que asustan por ser capaces de acceder donde uno no quiere y aquí empieza la preocupación por la seguridad que como es lógico, inicialmente se aplicará bajo el prisma de la protección tecnológica, estableciendo medidas destinadas a evitar que terceros no deseados se conecten a mis sistemas: cerrar puertos de comunicaciones, no utilizar configuraciones por defecto, cifrar los datos transmitidos, etc. Si bien este es el primer paso, la realidad se ha encargado de certificar que igual como los hackers se han transformado en otros colectivos más dañinos y menos éticos, implantado la seguridad únicamente a nivel tecnológico, no es suficiente. Se hace necesaria la Gestión de la Seguridad, el Buen Gobierno de las Tecnologías y los Sistemas de Información.
Gestionar la seguridad supone un cambio radical en la mentalidad, donde la gestión no debe asociarse a los activos individuales, sino a los procesos de negocio. Así, si analizamos el estándar ISO/IEC 27001:2005, cada vez más reconocido tanto por el sector público como privado, vemos que esta idea se aplica en el Círculo de Demming o Ciclo PDCA:
-
Planificar: Establecer las políticas, objetivos, procedimientos y procesos relevantes que conformarán el Sistema de Gestión para la Seguridad de la Información (SGSI), encargado de conseguir una correcta gestión del riesgo y mejorar la seguridad de la información, siendo capaz de proporcionar los resultados esperados de acuerdo con la políticas y objetivos de la Organización.
-
Hacer: Implementar y operar las políticas del SGSI, controles, procedimientos y procesos.
-
Monitorizar: Evaluar y donde sea posible, medir el rendimiento del proceso respecto a las políticas, objetivos y experiencias prácticas del SGSI y notificar los resultados a Dirección para su revisión.
-
Actuar: Llevar a cabo acciones preventivas, basadas en los resultados de las auditorías internas y revisiones del SGSI, para alcanzar una mejora continua del SGSI.
Donde la fase de Planificación es vital, al tratarse del punto de origen de la nueva filosofía: la seguridad al servicio del negocio.
Pongamos como ejemplo una cadena de montaje de automóviles. Será relevante para la Dirección el hecho de que la planta disponga de las piezas necesarias para el ensamblaje de vehículos, el hecho de que la cadena de montaje funcione en los tiempos establecidos, el disponer del volumen de vehículos finalizados adecuado para introducirlos en el mercado, una facturación correcta, etc. En ningún momento se ha pensado o hablado en términos de bases de datos, aplicaciones para la gestión de pedidos o facturación, virtualización de servidores o antivirus. El motivo es obvio, a la Dirección le preocupará la tecnología y la seguridad en la medida en que éstas, por ejemplo, repercutan en una mejor productividad, en un abaratamiento de costes o en línea contraria, dificulten la consecución de los objetivos de negocio.
Moraleja: la tecnología y la seguridad de los sistemas de información son relevantes en tanto y cuanto sirven a los propósitos del negocio.
Por lo tanto, la seguridad aplicada a las tecnologías y a los sistemas de información debería amoldarse al negocio, cubrir sus necesidades y objetivos estratégicos y ser capaz de proporcionarle, en su lenguaje, los datos necesarios que permitan valorar su repercusión dentro de la Organización. En definitiva, alcanzar un Buen Gobierno de las Tecnologías y los Sistemas de Información. Un primer paso para conseguirlo consistiría en determinar cuantitativa o cualitativamente los riesgos a los que estarían sujetas cada una de las distintas líneas de negocio. En segundo lugar, se tendría que llevar a cabo el diseño e implantación de un SGSI dirigido a cubrir y gestionar dichos riesgos con el único fin de que el negocio prevalezca frente a su materialización.
Cuando se dispusiese de un SGSI donde la gestión de la seguridad estuviese alineada con la estrategia de negocio se estaría en disposición de diseñar e implantar aquellos indicadores capaces de aportar valor adicional. "Todo aquello que se puede medir, se puede mejorar", así, la Organización, mediante cuadros de mando seria capaz de determinar y valorar tanto su seguridad, como estimar el Retorno de la Inversión (ROI).
La situación a día de hoy, en cambio, denota que todavía son muchas las organizaciones que tratan su seguridad independientemente del negocio al que desean proteger.
0 comentarios:
Publicar un comentario