Los riesgos de seguridad de la información son numerosos y muy reales, dice Dejan Kosutic, experto en ciberseguridad.
Por eso proteger nuestros activos es un deber y un derecho que requiere una dirección y un compromiso claros desde arriba, la asignación de recursos adecuados, arreglos para promover buenas prácticas de seguridad de la información en toda la organización y el establecimiento de un entorno seguro.
Pero ¿cuáles deben ser esas prácticas que garantizaran la preservación de la confidencialidad, integridad y disponibilidad de la información en la organización? Hicimos un compendio y te contamos todo sobre las 11 más importantes.
- Investigar sobre la legislación y demás requisitos aplicables y cumplirlos: Antes de que la seguridad de la información fuese una preocupación tuya, en tu país seguramente hicieron algunas gestiones para lograr la protección, mediante leyes y reglamentos que abarcan desde la constitución nacional, el código penal y leyes de protección de datos. Por lo tanto, podrías empezar por consultar cuáles son esas leyes, cuáles de ellas aplican a tu negocio y a qué sanciones te enfrentas en caso de incumplir. No solo el Estado tiene requisitos, muchos proveedores, clientes y partes interesadas también cuentan con políticas que debes atender. En este sentido, también es necesario revisar las obligaciones contractuales, códigos, licencias, cláusulas, reglas de control de acceso, acuerdos de confidencialidad, derechos de autor, entre otros.
- Definir los beneficios de la SI para conseguir el apoyo de la alta gerencia: aunque seamos muy bienintencionados, nuestros planes no prosperarán sin el compromiso ni los recursos emanados por la alta gerencia. A ellos les compete tomar las mejores decisiones para la empresa y cuidar todo lo concerniente a la organización. Y esto puede lograrse si los directivos están bien informados y protegen la información al implementar controles eficaces. Si aún la gerencia no está convencida, puedes argumentar que si la organización se involucra en un proyecto de seguridad de la información (SI). Podrán cumplir con las leyes y requisitos en materia de SI y así evitarán multas y sanciones. Además, proteger la información es una ventaja competitiva capaz de generar confianza en clientes actuales y potenciales. ¿Aún no los has convencido? Cuéntales que los incidentes de SI son costosísimos a nivel económico, reputacional, financiero, administrativo y operativo. Un proyecto de SI puede salvarlos de la debacle gracias a controles preventivos y a la optimización de los procesos.
- Establecer los objetivos para la ciberseguridad: Sabemos que tu meta es la seguridad de la información, pero esto es demasiado amplio como para llevarlo a cabo de forma ordenada y medible. Cuando plantees tus objetivos deberías establecer qué se va a hacer, qué recursos se requerirán, quién será responsable, cuándo se finalizará y cómo se evaluarán los resultados, incluidos los indicadores de seguimiento de los avances. Estos podrían ser algunos ejemplos: Mitigar los riesgos en al menos 10% para finales del año 2022 o mejorar el desempeño de los controles en al menos 5% para finales del año 2022.
- Asignar responsabilidades y responsables: ¿Quién se encargará de qué? Parece sencillo, pero muchas veces el personal no tiene claro cuáles son sus obligaciones en materia de SI. Por eso debemos encargarnos de que no haya lugar a dudas. ¿Cómo empezamos? Una buena forma sería informar que todos los trabajadores de la organización deben involucrarse y todos tienen responsabilidades en cuanto a SI. Y todos deben ceñirse a la política de SI. Un documento que establece cuál es la posición de la empresa e identifica las funciones y responsabilidades de todos los empleados. Los proveedores, personal externo y terceros también deben cumplir con la política y procedimientos de la empresa. Lo adecuado sería proporcionar una estructura de gestión de arriba hacia abajo y un mecanismo práctico para coordinar los esfuerzos relacionados con la SI.
- ¿Cuál será el marco referencial para alcanzar la SI?: Existen diferentes métodos para implementar proyectos de seguridad de la información. Algunos de ellos son particularmente eficaces, como la norma ISO/IEC 27001. El estándar ofrece controles (solo debemos escoger los aplicables al negocio), ayuda a tratar riesgos e identificar oportunidades, entre otros. Podemos optar por otros marcos de referencia, todo dependerá de nuestros objetivos de SI, beneficios que deseemos obtener, obligaciones legales y contractuales.
- Hacer que la SI sea rentable: Vale la pena ser precavidos y eficientes, pero no es válido. Implementar controles innecesarios, que malbaratarán los recursos. Necesitamos crear controles para atender riesgos reales y significativos.
- Entender que la SI va más allá de la seguridad informática: una seguridad de la información eficaz requiere un enfoque integral y considerar todas las áreas de la empresa. Debe ir más allá del alcance estrecho de TI y abordar los problemas de la organización. Si los controles de seguridad fallan, la totalidad de la compañía puede verse comprometida para seguir laborando, por ejemplo. Y eso atentaría contra la continuidad del negocio.
- Organizar la implementación: No te queremos engañar, un proyecto de SI es complejo y hay que estructurarlo de manera ordenada. Para eso te pediremos que concretes: qué quieres lograr, quién será el responsable del proyecto, qué persona de la alta gerencia se involucrará, cuáles serán los pasos a seguir y en qué tiempo deberán lograrse los objetivos y cuáles serán estos. También será fundamental determinar qué recursos se necesitarán. Si se requerirán servicios de consultores externos o se formará al personal existente, decidir si se implementará un sistema de gestión y se certificará este y qué equipos de tecnología debemos adquirir.
- Implementar las medidas de protección, evaluación y mitigación de riesgos: parte de un proyecto de SI es saber cuáles son los riesgos que acechan a la organización y cuáles son las formas más directas, económicas y efectivas para mitigarlos. Con esa base estableceremos controles, medidas y un plan de acción.
- Capacitación y concienciación: Asegurar la protección de la información es difícil. Hay que conducirse con mayor cuidado, memorizar contraseñas largas que hay que cambiar cada cierto tiempo, prestar mayor atención a leyes y reglas, aprender… Esto hace que haya que explicar a los empleados por qué es importante preservar la SI, por qué estos esfuerzos valen la pena, qué ganan con la protección de datos y cómo podemos lograr nuestros objetivos. Las inducciones, videos explicativos, charlas y entrega de material didáctico nunca estarán de más.
- Esto nunca termina: La seguridad de la información debe reevaluarse periódicamente. Como ocurre con todo, las necesidades, obligaciones, procesos, empleados, objetivos y leyes cambian. Un buen programa de seguridad de la información debe ser reevaluado al menos una vez al año. Las revisiones por la dirección y auditorías pueden ser de gran ayuda para revisar los resultados de mediciones, de auditorías internas, qué incidentes se han presentado, nuevas amenazas identificadas, inversiones necesarias, propuestas de cambio en la política, entre otros.
Tomado de: https://www.isotools.org/