Columnista: Marco Montenegro, CISO de eBIZ
La Seguridad de Información está en constante cambio y evolución producto de nuevas amenazas y tecnologías emergentes. Hoy en día, dispositivos Internet de las Cosas (IoT), smartphones y las computadoras constituyen un componente importante de nuestra vida cotidiana. Si bien estos avances tecnológicos nos han beneficiado en gran medida en cuanto a la movilidad, comunicación y prestaciones en servicios digitales, nos han generado también nuevas preocupaciones sobre la forma como se aborda la privacidad y la seguridad en el tratamiento de la información.
Según Wikipedia, “La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de datos”.
El próximo martes 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información, desde 1988, bajo el nombre de Computer Security Day, como iniciativa de la Association for Computing Machinery (ACM), con el propósito es concientizar sobre la importancia de proteger la información y los medios que la gestionan.
Adicionalmente, proteger la información cobra más relevancia en estos tiempos de pandemia COVID-19 por el uso de las nuevas tecnologías relacionadas con el teletrabajo, las cuales traen consigo nuevos retos y riesgos para las organizaciones. Es por eso que necesitamos tener certeza en cómo la información:
- Solo pueda ser consumida por las personas autorizadas (Confidencialidad);
- No haya sufrido cambios ni modificaciones no autorizadas (Integridad), y;
- Esté disponible cuando lo necesitemos (Disponibilidad)
Frente a ello, las organizaciones deben buscar gestionar el riesgo de seguridad de información y llevarlo a niveles aceptables considerando los siguientes pasos:
- Identifica activos de información críticos
Los activos de información son conocimiento o información, así como los medios que las gestionan, que tienen valor para la organización y por ello deben ser protegido. En este sentido, debemos buscar las “Joyas de la Corona”, es decir, aquellos activos de información cuya pérdida de confidencialidad, integridad y disponibilidad generan mayor impacto para las organizaciones. - Gestiona los riesgos asociados al tratamiento de activos de información críticos
La Gestión de Riesgos comprenden “actividades coordinadas para dirigir y controlar una organización respecto al riesgo” – ISO Guía 73:2009, considerándose a este último como el “efecto de la incertidumbre sobre los objetivos” – ISO Guía 73:2009.
Como parte de este proceso, comprende la identificación y análisis de amenazas que puedan explotar las vulnerabilidades de los activos de información, así como de consecuencias que pueden tener la pérdida de confidencialidad, integridad y disponibilidad de los activos de información en los objetivos estratégicos de las organizaciones. - Determina el riesgo aceptable y no aceptable
La evaluación de riesgos comprende la comparación de los niveles de exposición al riesgo calificados como resultado de la valoración de la probabilidad de ocurrencia y el impacto en la organización que pueda resultar de incidentes posibles en la seguridad de la información, frente a los criterios de aceptación del riesgo (apetito del riesgo), a fin de determinar justamente si el riesgo es aceptable o no. - Establece medidas para tratar los riesgos no aceptables
Los riesgos residuales no aceptables deben ser gestionados para llevarlos a zonas de aceptabilidad, mediante la adopción de estrategias de tratamiento:
– Modificar el riesgo, implementando medidas de control
– Retener el riesgo, en caso el riesgo satisfaga el criterio de aceptación de riesgos
– Evitar el riesgo, no efectuando la actividad que se relaciona al riesgo
– Compartir el riesgo, mediante tercerización o transfiriéndolo mediante un seguro - Implementa las medidas tomadas
Estableciendo un Plan para el tratamiento del riesgo, definiendo un Riesgo Residual Objetivo y aceptando de riesgos residuales. - Evalúa la efectividad de las medidas tomadas respecto a los riesgos identificados
Evaluar el Riesgo Residual comprende revisar la eficacia de las acciones del tratamiento sobre la base de los datos obtenidos de seguimiento realizado y comparando los resultados con el Riesgo Residual Objetivo.
La Seguridad de Información es un proceso continuo que requiere el establecimiento de un Gobierno de Seguridad de Información con funciones y responsabilidades definidas para lograr los objetivos de Seguridad de información, así como la permanente concientización y capacitación al personal que trata activos de información. Al respecto podemos recordar aplicar el siguiente Decálogo de Seguridad de Información para usuarios finales:
- Antes de publicar, piensa detenidamente sobre la información que compartes en Internet
- Mantén antimalware y software actualizados de fuentes confiables en tus equipos
- No navegues en Internet con una cuenta de usuario con privilegios sobre el equipo
- Conéctate únicamente a redes seguras
- Navega en Internet únicamente en páginas de confianza verificando la dirección y certificado valido
- Usa contraseñas robustas y tokens de autenticación para acceder a los servicios informáticos
- No abras correos, vínculos o archivos adjuntos sospechosos o de dudosa procedencia
- Efectúa el respaldo (backup) periódico de la información con la que trabajas
- Bloquea el equipo cuando termines de trabajar o cuando se encuentre desatendido.
- Reporta eventos sospechosos e incidentes de Seguridad de Información al encargado de Seguridad de Información de tu organización
CISM. Ing. Marco Montenegro Díaz es especialista con más de 10 años de experiencia en Sistemas de Gestión de Seguridad de Información, Ciberseguridad, Privacidad, Gestión de Continuidad de Negocio y Gestión de Riesgos en el sector de Servicios Financieros, de Seguridad y Tecnologías de Información. Actualmente se desempeña como CISO en eBIZ Latin America