En el primer Desayuno de Trabajo para Directivos que organizó Diario de Empresas la semana pasada, Sebastián Arancio González, de S3P Technology, demostró cómo las empresas no están todavía del todo concienciadas sobre el valor estratégico de la información que manejan. Por lo general, asumen las vulnerabilidades luego del primer incidente, con las pérdidas ya consumadas. ¿Qué se puede hacer a manera de prevención? ¿Cuáles son los principales riesgos? Sobre eso quisimos ampliar…
DDD: Luego de su exposición en el Desayuno de Trabajo, nos quedamos con la sensación de que las empresas no son del todo conscientes de lo vital que resulta la información que manejan….
Sebastián Arancio González – S3P Technology: La información es cada vez más vital, porque cada vez hay más necesidad de rapidez y de reacción ante las distintas situaciones del mercado. Y la información cada vez pesa más, mucho más, sobre la actividad de las empresas. Y no estamos hablando sólo del resguardo de la información, sino del tratamiento. Y no todas las empresas lo tienen, es cierto. Por lo general, están esperando que haya un inconveniente para ver si son capaces de reaccionar, cuando realmente esto debería estar previsto. Y ya no hablamos de copias de seguridad, sino de las previsiones necesarias para seguir funcionando ante una eventualidad. Ya sea fallos en los sistemas informáticos, fallos en los sistemas de suministros, por ejemplo el eléctrico u otro tipo de proveedor. Ante cualquier tipo de fallo. Lo que generalmente sucede es que cuando ocurre el problema, la gente se pone a improvisar. Y ahí es cuando se cometen los errores, porque no se sabe cuándo se puede volver a estar en la situación de partida.
DDE: ¿Errores que tienen coste económico?
SAG: Claro, porque el tiempo de recuperación es más lento. Las soluciones y las decisiones de prisa e improvisando no siempre funcionan, y hay que volver a actuar. Cuando tienen el primer incidente, ahí quieren hacer cosas. Se dan cuenta que han estado haciendo mal las cosas, y los daños que pueden tener a veces son graves, en términos de pérdida de información, pérdida de imagen, pérdida de clientes y pérdidas financieras o productivas bastante grandes.
DDE: ¿Es frecuente que las empresas se enfrenten a procesos de pérdida de información?
SAG: Sí, es frecuente. Por ejemplo, es frecuente que en una empresa se vayan trabajadores y no se tengan estipulados los mecanismos para que lo que hacía esa persona siga funcionando, o para evitar que la información que manejaba esa persona, que puede ser vital para un negocio, deje de estar en poder de la empresa.
DDE: ¿Cuáles son los incidentes más frecuentes?
SAG: Pues ya no sólo de acceso a información confidencial, que debe acceder un determinado perfil de empleado o de directivo y lo cierto es que accede otro tipo de gente. O copias de datos a medios indebidos, por ejemplo a llaves USB y que existe fuga de información. O información en los ordenadores portátiles que no debería estar en esos equipos, pérdidas de esos equipos, copias de seguridad que al restaurarlas nos damos cuenta que no sirven. Luego puede haber temas de incendios, de inundaciones, que nunca se tienen en cuenta. Y probablemente con la adecuación correcta de una sala, o de un espacio es suficiente. Por ejemplo, instalar la sala de servidores en un sótano, justo debajo de un baño. Eso es bastante típico, se rompe la cañería y se te mojan todos los equipos.
DDE: ¿Y los empleados? Supongo que deben estar implicados en esto, pero muchas veces escasamente comprometidos…
SAG: Es uno de los puntos clave en esto. Las pautas que deben seguirse son para la gente que está dentro de la organización, involucra aspectos de recursos humanos, aspectos de gestión. Y los empleados son justamente los que tratan la información, por eso son parte muy implicada en estos sistemas.
DDE: ¿Cuáles son las deficiencias más frecuentes, desde el punto de vista ahora de los recursos humanos?
SAG: Lo más grave es que las empresas no comunican a los empleados exactamente para qué pueden usar los sistemas de información, o la tecnología que se pone a su disposición. Y si los empleados no han aceptado las normas de utilización de esos sistemas telemáticos se puede incurrir en problemas muy graves. Aunque se diga de palabra, esto lo tienes que usar para esto o esto, eso no vale. Tiene que estar aceptado en un documento, que tenga validez jurídica, en el que los empleados aceptan explícitamente las condiciones. Este es uno de los errores más frecuentes, además de que la empresa no tenga una política clara de seguridad de la información. Es el todo vale.
DDE: ¿Estamos hablando, por ejemplo, de que los empleados de una empresa utilicen Internet para seguir resultados del fútbol, o para bajarse pelis?
SAG: Sí, o hacer un uso indebido de esos sistemas. Puede que no esté mal que vean un periódico deportivo, pero sí puede estar mal que visiten sitios pornográficos, o que tengan la posibilidad de ver correos personales dentro de la empresa. Y el riesgo no es porque vean esos correos, sino que puede entrar o salir información por esos medios que sea crítica de la organización empresarial. Por ahí, por esos correos se envían archivos de 100 o 150 megas con planificación estratégica, bases de datos, listados de clientes. Al moverse por un servidor de correo no controlado por la empresa, puede irse cualquier cosa.
DDE: Es como abrirle la puerta a un hacker…
SAG: No, es peor. El problema no es ése. La mayoría de los problemas de seguridad no vienen desde afuera hacia adentro, sino que van desde dentro hacia fuera.
DDE: ¿Cómo?
SAG: Los principales problemas de seguridad son internos, no externos. Robo de información, pérdida de información. Los propios empleados tratan con información que no debería tratar, o sacan información que no están autorizados. Eso es lo más grave. No tener claras esas pautas y establecer los caminos que debe seguir la información es un riesgo muy grande. Por eso hay que valorar cada activo de información, qué peso tiene dentro del negocio.
DDE: ¿Y cómo hace una empresa para ajustar estos procesos de resguardo de su información clave?
SAG: Pues debe tener en claro cuáles son esos activos de información que tienen, y definir un alcance de qué procesos quieren tener más controlados. Luego se hace un análisis de los riesgos a los que están expuestos y se evalúa en qué situación están. Si tienen las medidas adecuadas de protección, por ejemplo. Es lo que se llama la implementación de un sistema de gestión de la información. Eso puede hacerse de distintas maneras. Generalmente con una consultoría externa, pero tiene que haber gente de la empresa implicada. Y luego tiene que contar con recursos, para llevar a cabo las medidas que haya que implementar, además de facilitar el tema de las entrevistas con las personas que tratan esa información: recursos humanos, contabilidad, informática, que es solamente uno de los implicados, pero no el principal. Hay empresas muy grandes que tienen gente capacitada para hacer esto, pero hay otras que no, que contratan una consultoría en sistemas de gestión de la información. Lo que sí pueden hacer para tener más seguridad de que están haciendo bien las cosas es acudir a una entidad certificadora, como Aenor o APP Plus, que certifican que se ha implementado correctamente un sistema de gestión de seguridad.
DDE: ¿Sería algo similar a una norma de calidad?
SAG: Es una norma de calidad, por eso la norma ISO 27001 es la que abarca los Sistemas de Seguridad de la Información, y es certificable, sí, sí. Una entidad externa, auditores independientes, certifican que uno está cumpliendo con lo que se especifica en el alcance de esa norma.
DDE: ¿Es una certificación obligatoria?
SAG: No, no, ni mucho menos. Es algo que si uno quiere lo hace. Simplemente esa certificación por un ente independiente y reconocido le da muchísimo más valor al esfuerzo que uno realiza para implantar un sistema de gestión de seguridad de la información. Pero cada vez más la administración pública está exigiendo este tipo de certificaciones. Y cada vez más clientes están exigiendo a sus proveedores este tipo de certificaciones
0 comentarios:
Publicar un comentario