Cultura corporativa de seguridad de la información

aAutor: Rodolfo Muñoz S.

En el mundo en que actualmente nos desenvolvemos es difícil asegurar que un ambiente físico o informático está totalmente blindado y seguro ante cualquier ataque cibernético o físico. No obstante, se debe entender que lo concerniente a la seguridad de los “activos de información”, entendiendo este concepto no solo en el aspecto informático que son unos (1) o ceros (0); sino también al tratamiento que se les debe dar a los equipos que contienen dicha información informática. Adicionalmente a estos aspectos, también se incluye la información en físico, como podrían ser memos, hojas de rutas, expedientes, facturas, mapas, gráficos, entre otros; que dentro de una empresa dependen en gran medida de la actitud de los usuarios finales o responsables de los activos de información que emplearán los equipos terminales asignados, los cuales podrían ser desktop, laptop, tablet, equipos celulares inteligentes, teléfonos IP, pendrive – y que forman parte de los mencionados activos de información. También relacionado con la seguridad -en menor escala-, estaría la unidad que se encargue de la seguridad física e informática, la cual debe cumplir un rol de seguimiento y control de manera eficaz y eficiente.

Para lo antes descrito, es necesario la creación de una “cultura corporativa” que conduzca a los usuarios a estar alerta sobre cualquier escenario que pueda ser un detonante de un evento de seguridad físico o informático, así como también tener conocimiento de la unidad corporativa a la que debe acudir en caso de que ocurra un evento. Lo dicho anteriormente parece obvio, pero la realidad es que en Venezuela pocas empresas dedican recursos para la creación de una cultura corporativa con respecto a la seguridad de los activos de información, especialmente las grandes empresas, ya sea por ignorancia del tema o por no tener en cuenta la importancia del mismo o simple descuido. De este modo, queda abierta la posibilidad de malas prácticas de seguridad, arriesgando profundamente la protección de la empresa.

Dicho esto, ¿cuáles serían las mejores prácticas para proteger los activos de información dentro de una cultura corporativa sana? Para responder esta incógnita es necesario referir a las Normas ISO 27001:2013 y ISO 27002:2013, Códigos de Buenas Prácticas para la Gestión de Seguridad de Información, donde se plasman los controles mínimos que debe tener una empresa y su implementación, a bien de considerar seguro su ambiente de trabajo. Aunado a estas prácticas, este ambiente solo será seguro si y solo si, cada uno de los usuarios asimila que la seguridad es corresponsabilidad de todos en la empresa, por lo tanto, es necesario que cada empleado conozca las “políticas de seguridad” de la organización en la cual se desenvuelve. En cuanto a la unidad de seguridad física e informática, debe realizar constantemente jornadas educativas sobre las referidas políticas, así como auditorías para evidenciar la utilización in situ de las mismas, detectando cualquier desviación para poder hacer la corrección.

Este aporte busca la concienciación empresarial de la “cultura corporativa” hacia la seguridad de los activos de información y, de esta manera, evitar ser reaccionarios ante los eventos de seguridad. En pocas palabras, instar a ser preventivos en el ámbito de la seguridad, ayudados por el propio personal, creando una sinergia empresarial y no una persecución incomoda del área de seguridad física e informática contra el activo más valioso que tiene una empresa: su personal. Esto generaría un cambio de paradigma para la mayoría de las empresas ya que la seguridad no sería responsabilidad de una sola unidad, sino que sería compartida con cada uno de los empleados.

Por último, todo lo dicho anteriormente no quiere decir que no se deban realizar las verificaciones de seguridad, solo que dicha verificación será mucho más eficiente y eficaz si se cuenta como aliados a todo el personal. En pocas palabras, de nada sirve tener los mejores firewalls, el mejor antivirus, si los usuarios no están claros que entrando a una página poco segura (buscando los resultados de la lotería, por ejemplo) pueden vulnerar la intranet corporativa con un malware. En sentido similar, de qué sirve tener claves robustas para las aplicaciones corporativas, si no se tiene idea de que son intransferible y se le entregan a un compañero que va a reemplazar funciones en las vacaciones de otro. Asimismo, si no se rotula la información como “estrictamente confidencial” y ésta se filtra, puede causar daños irreparables a la empresa. Otro ejemplo, colocar detectores de metal y rayos x, cámaras etc., en accesos peatonales y luego autorizar la entrada de una visita por el estacionamiento sin pasar por la recepción, en razón de que es tedioso cumplir con el protocolo de ingreso de los visitantes. Estas irregularidades se pueden disminuir a su mínima expresión con la “cultura corporativa de seguridad de la información”, haciendo un ambiente protegido para todo aquel que labore en una empresa comprometida con su seguridad.