Seguridad de la Información: Un enfoque para la Alta Gerencia

Cada vez más las organizaciones tienen una mayor dependencia de sistemas que generan, almacenan y procesan información, de hecho la información en sí misma se ha transformado en uno de los activos más valiosos de las organizaciones. La protección de la información desde el punto de vista de la disponibilidad, la confidencialidad e integridad  , es un reto al cual todas las organizaciones deberían hacer frente, a fin de estar preparadas ante posibles eventualidades ya sean estas provocadas de manera intencionada o no y que pudiesen tener la capacidad de interrumpir las operaciones de un negocio.

Durante el 2013 en Bolivia, el Instituto de Investigaciones TécnicoCientíficas de la Universidad Policial (Iitcup), el principal organismo encargado de investigar delitos cibernéticos en Bolivia, reportó 150 casos relacionados con infracciones a través de la web, representando un 60% más de lo que registró el año anterior, según menciona la OEA y Symantec en su informe Tendencias de Seguridad Cibernética en América Latina y el Caribe, publicado en el mes de julio. Estos delitos generaron una perdida regional en la  banca de 28,2 millones de dólares, los cuales 13% ocurrieron en Bolivia. Según el experto en Derecho de la Tecnología y Empresas, el Lic. Mauricio Torrelio, nos comenta: “La estructura normativa en la cual se cimientan muchas actividades tecnológicas de la banca asi como de muchos los sectores, no tienen una protección adaptada a los cambios e innovaciones, asi como políticas públicas que acompañen a su desarrollo, apoyando a las instituciones y actores involucrados en este cometido de protegerlas. Actualmente en el 2019,  Bolivia se ha visto en ataques contra la Aduana Nacional de Bolivia, Tigo, Banco Sol, Banco Union, Cotas, según el portal web denominado El Observatorio de Delitos Informáticos de Bolivia o www.odibolivia.org .”

Entonces, nuestro enfoque de la seguridad debe enmarcarse en un antes, durante y un después de que se produzca un incidente, el anticiparnos a sucesos que puedan comprometer la continuidad del negocio y las operaciones nos permite entender nuestra postura corporativa detectando eventos que puedan desencadenar una desviación de los objetivos del negocio, de esta manera se podrá gestionar apropiadamente el riesgo. Una vez que una entidad ha sido comprometida la gestión de crisis, el plan de comunicaciones y los planes de contingencia tecnológica son esenciales, al final de un incidente las lecciones aprendidas nos permitirán reevaluar nuestra capacidades poniéndonos de frente a nuestra realidad.

Es importantísimo que las entidades desarrollen regularmente un análisis de vulnerabilidades que permita conocer el estado-situación de la entidad y si esta posee capacidades para hacer frente a  distintas amenazas, conocer que puede impactarnos y como afrontar a esas amenazas implica el desarrollo de una estrategia organizacional. Saber para que estamos preparados y para que no, suele ser la diferencia entre una empresa resiliente y una que se quedo atrás usualmente que deja de operar en los próximos tres años.

En los hechos, articular la seguridad requiere de tecnología, procesos y personas siendo este último  el eslabón más débil en la protección de la información. Los ataques de ingeniería social dirigidos a aprovecharse de la buena fe de las personas suelen ser la ofensiva básica con la que nos atacan, es por ello que las organizaciones debiesen tener claramente definido cual y que tipo de información puede ser brindada libremente y cual no.

Desde el punto de vista del gobierno corporativo la responsabilidad última recaerá siempre sobre la máxima autoridad ejecutiva, recordemos que la responsabilidad  ejecutiva no puede ser delegada, y aun cuando haya podido ser transferida por medio de acuerdos de nivel de servicio o contratos de confidencialidad e inclusive pólizas, el resarcimiento económico no restaura ni la data, ni la reputación, es por ello que la responsabilidad al final será compartida sin que pueda existir un deslindamiento total de responsabilidad al menos organizacionalmente, ante este panorama es preciso que los cuadros directivos (Gerente Directores) actúen, ya que de alguna otra forma podrán ser juzgados ya sea por acción u omisión y mucho mas si pertenecen a alguna entidad estatal en la cual la responsabilidad no prescribe.

La seguridad de la información es un proceso en constante evolución, fortalecer las capacidades organizacionales a través de capacitación, pruebas de seguridad, ejercicios situacionales (Drills) son la mejor forma de hacer frente y prepararnos para situaciones adversas. Así mismo es  importante que la organización fortalezca sus capacidades analíticas para pasar de un simple “estamos bien” que suele ser muy a menudo una respuesta cuasi mecánica a respondernos ¿Y cómo sabemos? para de esta forma encontrar indicadores o métricas con las que gestionamos el desempeño de la organización, porque de esta forma al final lo que está en juego no solo será la reputación organizacional o el negocio en sí, sino también la gestión de la máxima autoridad ejecutiva.

 

Por el Ing. Roller Ibañez

Consultor externo y especialista en seguridad de la información Continuidad del Negocio y Gestión del Riesgo. 

Security Project Manager en AGS consultora de Seguridad de SUIZA

 

 

Síguenos para más información, noticias y eventos:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *