¿Por qué proteger la información de mi empresa?

¿Por qué proteger la información
de mi empresa?


En este artículo, voy a intentar hacer una aproximación, para no expertos, de qué es la gestión de la seguridad de la información y que son los sistemas de gestión de la seguridad de la información (SGSI), de los que cada vez se oye hablar más.

La información es un activo fundamental de la empresa. A eso hay que añadir que, a este activo, se encuentran ligados los recursos con los que se trata dicha información. Pensemos que, en el caso de la información que tenemos en papel, los recursos pueden ser los archivadores o armarios en las que se guardan nuestros expedientes; y, en el caso de la información que tratamos de manera informatizada, los recursos serán los equipos informáticos, soportes (como discos duros externos o pendrives) o aplicaciones desde las que se trata dicha información.

Y no olvidemos entre dichos activos fundamentales, uno de los más importantes, los recursos humanos.

Tomando esto como punto de partida, ahora planteo las siguientes preguntas para encaminar la cuestión:

- ¿Cuánto tiempo podría funcionar nuestra empresa sin que podamos tener acceso a la información diaria que tratamos?

- ¿Estaría la empresa preparada para responder a un incidente de seguridad que afectase a la información destruyéndola o modificándola?

- ¿Cuánto pagaría mi competencia por mi información confidencial?

- ¿Cumplimos la Ley Orgánica de Protección de Datos o la Ley de Comercio Electrónico?

Plantearse estas preguntas y, sobre todo, la respuesta que le demos a las mismas, va a ser el primer paso para darnos cuenta de la necesidad de gestionar la seguridad de la información que tratamos en nuestra empresa.

Existen estándares internacionales que proporcionan modelos para la creación, implementación, mantenimiento y mejora de un sistema de gestión de seguridad de la información (SGSI). En concreto, la norma UNE-ISO/IEC 27001 proporciona un modelo certificable, es decir, que un órgano certificador acreditado puede certificar que nuestra empresa cumple los requisitos definidos en dicha norma para la gestión de la seguridad de la información.

Puede que nos interese, de cara a nuestros clientes, mostrarles nuestro sello de entidad certificada en base a dicha norma, que acredita que gestionamos la seguridad de nuestra información. Pero, antes de llegar hasta ese sello de “garantía de seguridad”, nos tiene que quedar claro que el fin último de implantar un sistema de gestión de seguridad de la información, debe ser una plena concienciación, sobre todo por parte de la dirección de la empresa (que tiene que trasladar a todo el personal de la misma), de la necesidad de gestionar de manera adecuada la información que se maneja en la misma.

Veamos sobre qué ámbitos distintos de la información pueden “atacar” las amenazas. Nos planteamos tres ámbitos o propiedades que queremos garantizar sobre nuestra información:

- La disponibilidad: la propiedad por la que nuestros sistemas de información funcionan correctamente en todo momento y podemos acceder a la información que necesitamos.

- La integridad: la propiedad por la que la información que se alberga en nuestros sistemas no ha sido manipulada ni alterada.

- La confidencialidad: la propiedad por la que nuestra información es privada y sólo se comunica a las personas autorizadas.

Garantizar la seguridad de la información, gira en torno a estas tres propiedades. Por ejemplo, si se materializase la amenaza de difusión de software dañino, podría afectar a la disponibilidad de la información, pues un virus me podría impedir acceder a mi equipo.

Si se materializase la amenaza de error cometido por un usuario, podría afectar a la integridad de la información pues algún usuario podría haber modificado cierta información.

O, si se materializase la amenaza de robo de equipos, podría afectar a la confidencialidad de la información, si el ladrón accede a información confidencial albergada en los equipos