¿Cuándo hablamos de seguridad, en que pensamos?

Si vamos a la definición de la Real Academia Española, es la cualidad de seguro y seguro es libre y exento de todo peligro, daño o riesgo. Por eso vienen a la mente cosas como el cinturón de seguridad y los guardias de seguridad, entre los ejemplos cotidianos.
Si pensamos en la información, día a día quienes estamos en organizaciones que gestionan grandes volúmenes de información, nos damos cuenta que debemos tener un especial cuidado en su tratamiento, así como también proteger la infraestructura sobre la cual reside.

Cada vez son más frecuentes las noticias de incidentes informáticos en los que se pone en riesgo información sensible y confidencial o se atenta contra la disponibilidad de determinados servicios. Así la seguridad de la información requiere una mayor atención en las organizaciones y tanto el análisis de riesgos, los planes de contingencia, la gestión de incidentes y el aseguramiento de la continuidad del negocio – infraestructura y datos – resultan claves en cualquier organización. Se hace indispensable contar con políticas de seguridad que regulen tanto la seguridad física como lógica de los datos, garantizando su integridad, confidencialidad y disponibilidad. De la misma forma, surge la necesidad de contar con un sistema de gestión que comprenda la política, la estructura organizativa, los procedimientos, los procesos y los recursos necesarios para la implantación y mejora continua de la seguridad de la información dentro de la organización.

En los últimos años han surgido estándares de aceptación internacional, que proporcionan modelos para la implantación de Sistemas de Gestión de la Seguridad de la Información y guían en las mejores prácticas de seguridad que contribuyen a mitigar los riesgos identificados en las organizaciones. Muchos de estos estándares están siendo homologados en Uruguay por UNIT, como la familia de estándares ISO/IEC 27000. A nivel nacional, se estableció un marco legal que regula algunos aspectos críticos de seguridad como la Ley de Protección de Datos Personales.

Los modelos planteados por estos estándares, tienen principalmente un enfoque basado en procesos, orientados a la gestión del riesgo y de la seguridad de la información. Hacen énfasis en analizar y comprender los requisitos de seguridad de la información, estableciendo políticas, objetivos, metas y procedimientos para gestionar el riesgo y mejorar la seguridad de la información; en implementar y operar controles que permitan disminuir los riesgos identificados, de acuerdo a las políticas y procedimientos establecidos; en verificar, evaluar y medir la eficiencia de los procesos y controles implementados y por último, en realizar las acciones correctivas y preventivas, necesarias para alcanzar los objetivos y la mejora continua de la seguridad de la información.

Existen diferentes metodologías que contribuyen a la adopción de estos estándares y reglamentaciones. Estas metodologías proponen diversas estrategias para adaptarse a las diferentes realidades y niveles de madurez de las organizaciones. Algunas proponen el uso de planillas para el análisis y gestión del riesgo y otras se apoyan en herramientas más complejas diseñadas para la gestión completa del sistema de seguridad de la información, incluyendo la gestión de la documentación asociada. También existen diferentes metodologías y herramientas para la verificación de los controles implementados y del nivel de cumplimiento con las políticas, como los tests de vulnerabilidades (Pentest), que permiten identificar problemas en configuraciones o implementaciones que pueden dejar expuestas a las organizaciones a posibles ataques.

Por otra parte, hay que entender que el publicar información no significa que la organización sea más vulnerable. En este sentido también existe un marco normativo como lo es la Ley de Acceso a la Información Pública, que establece como un derecho de todas las personas el acceso a la información pública que se encuentre en poder del Estado. Por ejemplo, en la Intendencia de Montevideo y por resolución municipal, se ha comenzado con una política de publicación de datos y no por ello queda más expuesta a ataques desde fuera de la organización.

Gestionar la seguridad de forma eficiente es esencial en cualquier organización. Para lograr la confidencialidad, integridad y disponibilidad de la información, existen normativas y estándares que contribuyen a esta tarea y que se debe tener en cuenta para alcanzar los objetivos de seguridad. Las organizaciones se pueden apoyar en metodologías y herramientas que faciliten los procesos y actividades asociadas. Las tecnologías de la información están en constante evolución y ya no alcanza con proteger exclusivamente la infraestructura, hay que también poner el foco en la protección de los datos. Es necesario trabajar para alcanzar un equilibrio entre garantizar la seguridad de la información y garantizar el acceso a la misma.