Protección efectiva de la información ¿Cómo lograrla?
Las y los dueños y directores generales necesitan asegurar que la información corporativa se encuentra adecuadamente protegida de eventos como robo, acceso no autorizado o fraudes como el secuestro electrónico de datos. Estos eventos ponen a las organizaciones en fuertes predicamentos y un viacrucis no deseable para nadie en la industria para la gestión de información.
Iniciemos con las afectaciones a la organización como la irremediable y nunca deseada pérdida económica; los puristas podrían decir que cualquier pérdida puede cuantificarse financieramente, en este caso habría que preguntarse: ¿la organización puede cuantificar financieramente el robo o secuestro de su información?, ¿la organización puede cuantificar en pesos y centavos la pérdida por ejemplo de la imagen de la empresa o en la productividad del negocio debido a que su información corporativa no se encuentre disponible?, ¿la organización conoce cuál es y en dónde se encuentra la información indispensable para generar ingresos contantes y sonantes?
Si la respuesta a alguna de las preguntas anteriormente formuladas es NO, temo decirle que su organización se encuentra en una dirección que apunta irremediablemente hacia una pérdida financiera y de valor, que en el peor de los casos podría ser de tal magnitud que su empresa no se pueda recuperar y deba dejar de operar.
Pero ¿cómo evitar que esto suceda?, ¿cómo evitar este destino incierto y oscuro que se cierne sobre las organizaciones tanto nacionales como internacionales?, ¿cómo despejar esta incertidumbre y tener un panorama claro de a lo que nos podemos enfrentar si no gestionamos de manera efectiva la protección sobre nuestra información?…
La respuesta es la siguiente: Gestión de Riesgos de Seguridad de la información.
Con la gestión de riesgos de seguridad de la información podemos tener conocimiento de los eventos que pueden afectar a nuestra información tanto física como electrónica a través de enfoques probabilísticos que disminuyan la subjetividad que por naturaleza existe en los riesgos.
Y ¿por qué los riesgos son subjetivos?… porque los riesgos son una cuestión de percepción, las personas, así como las organizaciones percibirán riesgos de manera diferente en función de su experiencia particular.
Existen diferentes normas y métodos en la industria que pueden utilizarse para gestionar riesgos de seguridad de la información de manera efectiva; en esta ocasión, quisiera hablarte de ISO 27005.
ISO 27005 es una norma internacional de adaptación voluntaria disponible para ser adoptada en cualquier organización (sin importar el giro de negocio) que proporciona directrices para la gestión del riesgo de seguridad de la información.
A través de la gestión de los riesgos basada en ISO 27005 podremos conocer los requerimientos corporativos de la empresa para proteger la información, crear lineamientos para su correcta protección, organizarnos adecuadamente e implementar los controles necesarios para lograr esa correcta protección (Protección = Evitar pérdidas para el negocio).
¿De qué debemos protegernos?… de los eventos de riesgo que constantemente amenazan a nuestro negocio y buscan afectar a nuestra organización, apoderándose o modificando de manera no autorizada la información o simplemente que de un momento a otro ésta no se encuentre disponible cuando se requiera.
Cabe mencionar que estos eventos de riesgo pueden provenir del exterior y/o del interior de nuestro negocio.
Componentes de la gestión de riesgos.
El proceso de gestión de riesgos de seguridad de la información basado en la norma ISO 27005 consiste en establecer el contexto, la apreciación del riesgo, el tratamiento del riesgo, la aceptación del riesgo, comunicar el riesgo, monitorear y revisar el riesgo (Figura1).
Este proceso es iterativo y su operación está basada sobre la mejora continua. A continuación, te explico de manera general cada uno de sus componentes:
Establecimiento del contexto: Esta fase se refiere principalmente al establecimiento de objetivos (de negocio y de riesgos de seguridad de la información), al desarrollo de la estrategia de gestión de riesgos de seguridad de la información y alcance de la gestión de riesgos de seguridad de la información. Hay que tomar en consideración que se deben justificar lo recursos (en toda la extensión de la palabra) que se requieran para la gestión de riesgos (no vea esto como un gasto véalo como una inversión para el negocio).
Apreciación de riesgos: Fase en la cual identificamos, analizamos y evaluamos los riesgos de seguridad de la información. Un consejo, aprecia riesgos que realmente se puedan presentar en tu organización, no divagues.
Tratamiento de riesgos: Fase en la cual tomaremos decisiones sobre los riesgos apreciados. ¿Qué podemos hacer con ellos?… Bueno, te adelanto que pueden ser modificados, retenidos, evitados o compartidos, esto dependiendo de su nivel riesgo o si están o no dentro del apetito de riesgo de tu organización.
Aceptación de riesgos: Una vez que la opción de tratamiento de riesgo haya sido implementada a través del plan de tratamiento correspondiente, los riesgos de manera natural tendrían que disminuir a niveles de aceptación para la organización, lo cual deriva en la aceptación de estos.
Comunicación del riesgo: Esta fase se refiere a llegar a un acuerdo sobre cómo gestionar el riesgo a través de un intercambio y/o uso compartido de la información sobre el riesgo entre todos los involucrados de la organización (directores, gerentes, operadores, analistas, etc.).
Monitoreo y revisión del riesgo: Los riesgos cambian constantemente, no debemos descartar la posibilidad de la aparición de nuevos riesgos o cambios en los actuales que en un momento dado no se puedan detectar y afecten al negocio, por esta razón, los riesgos de seguridad de la información deben ser supervisados y revisados de manera periódica.
Con lo anterior te quiero transmitir que, no importa si eres director(a) o gerente(a), si estas realizando tus prácticas profesionales, si eres proveedor(a) de servicios, consultor(a) externo(a) o auditor(a), la protección de la información corporativa es responsabilidad de todos(as) los que participamos en el negocio y debemos apoyarla gestionando los riesgos de seguridad de la información de forma óptima apoyados de la norma ISO 27005 y, a través de esta gestión colectiva de riesgos, ayudar al negocio a evitar pérdidas, apoyarlo a alcanzar sus objetivos estratégicos y realizar beneficios para todos los interesados en ella.
Jorge Alejandro Luna Contreras
Profesional de Seguridad de la información
CISA, CISM, CRISC, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 22301 Lead Auditor, ISO 22301 Lead Implementer, ISO 31000 Lead Risk Manager, ISO 27005 Risk Manager, COBIT 5 Foundation.