La información es un activo valioso que puede impulsar o destruir a una organización; sin embargo, si se gestiona de forma adecuada, permite trabajar con confianza. La gestión de la Seguridad de la Información ofrece la libertad para crecer, innovar y ampliar la base de clientes, a sabiendas que permanecerá confidencial.
Las empresas u organizaciones suelen enfrentar diversas amenazas en su infraestructura de cómputo y comunicaciones como los ciberataques de ramsonware (secuestro de información) en una complejidad de arquitecturas tecnológicas y de servicios provistos de forma interna o externa. Sus operaciones a través de internet o la gestión de información en sistemas automatizados, cuentan con sistemas de seguridad que aseguran su confidencialidad, integridad y disponibilidad.
Es necesario considerar que toda empresa en el corto plazo se reconvertirá a una empresa tecnológica que haga llegar sus productos o servicios a sus consumidores de forma más eficiente y a menor costo, a través del uso de tecnologías de información y comunicaciones, de ahí la importancia de cumplir con estándares que blinden las operaciones.
La pérdida o robo de datos no sólo ponen en riesgo los activos económicos de una empresa, sino también pueden comprometer la reputación y la confianza con son clientes y proveedores. Recordemos que hoy en día, toda organización es susceptible de perder activos físicos, con el peligro aún mayor de perder información valiosa almacenada en el ciberespacio.
A continuación, comparto ocho estrategias para la protección de datos contra hackeos, robos y fraudes:
1. Concientizar a los directivos de las consecuencias que atrae la información comprometida ante la falta de protección o aseguramiento de la misma.
2. Emprender campañas que permeen en toda la organización sobre la importancia de proteger sus datos estratégicos.
3. Identificar con exactitud los puntos de interconexión e intercambio de flujos de información que estén soportados en internet o vía redes públicas, en conexiones al interior de la misma empresa y con aquellas que requieran usar o intercambiar datos.
4. Hacer un análisis riesgo a través de los activos de información que procesen, transmitan o almacenen información.
5. Generar un plan para tratar los riesgos detectados.
6. Desplegar dichos planes de acción y dar seguimiento para verificar que se obtengan los resultados planeados.
7. Generar procesos y mecanismos para responder a eventos, incidentes de seguridad o incidentes disruptivos que puedan ocurrir.
8. Obtener la certificación de la norma ISO 27001, un requerimiento de seguridad de información que incluye operaciones electrónicas en el ciberespacio.
El robo de información también afecta el desempeño de transacciones cotidianas como, por ejemplo, el retiro de dinero de un cajero automático, reservar un viaje, realizar trámites en oficinas de gobierno, entre otras muchas operaciones. Es por ello que cualquier tipo de organización debe contemplar la certificación ISO 27001.
Mayor
confianza de los socios de negocio, inversionistas, consumidores y, en general,
en toda la cadena de valor y suministro, se cuentan entre los beneficios de la
norma. Los pasos que deben de realizar para proteger la información y
certificarse en ISO 27001 son:
· Conocer la norma
· Implementarla
· Certificarse
· Mantener el ciclo de mejora continua que exige dicha norma
El periodo para lograrlo dependerá del tamaño de la organización, que podría obtener la certificación de la norma en un lapso aproximado de seis meses, aunque esto se va ampliando dependiendo de la cantidad activos, personas o instalaciones que demanden de seguridad.
Un ejemplo de lo abordado hasta ahora, son los procesos que se certifican en el sector bancario para brindar mayor resguardo de información:
· Core Bancario.
· Servicios de soporte de la banca.
· Procesos de Aseguramiento de la seguridad de información.
· Mesa de valores.
· Mesa de dinero.
· Operaciones de instrumentos financieros.
· Medios y canales de entrega.
· Operaciones de Tecnologías de Información y comunicaciones.
· Cualquier proceso que la empresa decida proteger.
En la actualidad se han incrementado y sofisticado los riesgos en la seguridad de información en ámbitos como el sector de operaciones tecnológicas, servicios en la nube y diversos procesos de negocio.
La transformación digital de las organizaciones atrae nuevas oportunidades de negocio pero, a su vez, genera nuevos escenarios, vulnerabilidades y amenazas, que pueden comprometer no sólo la información, sino los procesos mismos de negocio, aspectos que pueden derivar en pérdidas económicas, riesgos de reputación o una mala experiencia en el servicio ante los clientes, consumidores o partes interesadas. Cuando una empresa es hackeada debe responder al incidente de forma sistemática y ordenada para mitigar el impacto a la organización.
– Leonardo García es auditor líder e instructor en BSI Group México (BSI)