Entrevistas Facultad Ingeniería Posgrado Sistemas Sistemas Tecnología e Innovación Tema
Seguridad informática para una mejor gestión
El profesor mexicano, Mario Ureña, especialista en Seguridad informática, llegó a la USAT para compartir una semana de trabajo junto a los estudiantes de la Maestría en Ingeniería de Sistemas. Durante su visita, brindó una ilustrativa entrevista sobre una de las tendencias más difundidas en la gestión de tecnologías de la información.
¿Qué es la seguridad informática?
Se asocia a la información, que es un activo muy importante para las empresas. La información es poder, porque si se utiliza y analiza de una manera adecuada podemos obtener más información valiosa que sirve para tomar decisiones.
Entonces, para hablar de seguridad informática debemos reconocer que la información es un activo importante que tiene un valor para la organización, esto se asocia a que la información tiene algunos riesgos, sobretodo, cuando no es correcta la forma de recolección o gestión. Existen tres riesgos:
Disponibilidad: No podemos pensar que la información estará siempre ahí, si no nos aseguramos que esta esté disponible, la podemos perder. En la actualidad, usamos respaldos de información o sacamos una fotocopia porque si perdemos esa información nos generaría un costo volver a crearla y en algunos casos no es posible.
Integridad: La información debería ser exacta, precisa y reflejar la realidad de lo que representa. Por otro lado, la integridad pierde su propiedad cuando la información es modificada, es decir, pierde el sentido de aquello que representa.
Confidencialidad: Se debe asegurar que la información importante sea asequible a personas autorizadas, el riesgo es que una persona no autorizada pueda obtenerla y divulgarla, en algunos casos, utilizarla en nuestra contra.
Por lo cual, la seguridad de la información representa la protección de la confidencialidad, integridad y disponibilidad.
¿Desde cuando surgió esta preocupación en las empresas?
En los años 60, la industria militar se empezó a preocupar por el tema de la confidencialidad, porque no querían que los asuntos militares se dieran a conocer. Es así como se crea el concepto de confidencialidad y empiezan a surgir estándares, prácticas, controles y procesos para proteger la confidencialidad.
En los años 70, la integridad empieza a ser muy relevante. Los bancos empiezan a adoptar la tecnología y empezaron a tener un sistema de información donde todos los datos se podían almacenar.
La disponibilidad de la información se empieza a formalizar a finales de los 70’s, cuando se dan cuenta de la importancia de asegurarla. A partir de ese tiempo, se empieza a hablar de la continuidad de las operaciones, la recuperación en caso de desastres, los planes de contingencia, los respaldos, etc.
Podemos decir que desde los años 60 la seguridad de la información empezaba a surgir, pero es más reciente el énfasis que le hemos dado a nivel mundial, sobre todo, en los últimos 10 años. Yo diría que se ha ahondado en la protección de la información personal. Esto también está asociado a otros riesgos que no son propios de la seguridad de la información, por ejemplo, si alguien se entera cuánto ganas, dónde vives, etc. entras en una situación de riesgo.
En este sentido, muchos países incluyendo a Perú, han desarrollado leyes de protección de datos personales en posesión de los particulares. Actualmente, vivimos en una época en donde las empresas están obligadas a proteger la información que sus clientes les confíen. Por tal motivo, existe un desarrollo tecnológico importante porque hemos adquirido más herramientas que permiten manejar y controlar información.
¿Qué pasa cuando una organización debe proteger su información? ¿Quiénes se encargan de ello? ¿Cuándo entran a tallar las auditorías externas?
Dentro de los enfoques actuales las empresas que están más avanzadas, definitivamente, manejan un concepto integral o “seguridad integral”, donde reconocemos que todos los participantes de una organización somos responsables. Po ello, se han implementado desde políticas hasta controles para el acceso de la información.
Por otro lado, la auditoría es un punto muy importante y actualmente, se manejan auditorías internas y externas. Aquí el criterio más importante es la independencia. Un auditor interno cuando revisa la seguridad informática de la empresa debe ser alguien totalmente independiente a la operación, para que no ponga en riesgo la objetividad de sus resultados. Cuando se tiene una auditoría externa, que puede ser por parte de una entidad regulatoria o puede ser debido a una investigación o un socio de negocio, de la misma manera, se debe asegurar que exista una independencia y que el personal que la realiza tenga las competencias necesarias para identificar controles que aseguran la protección de la información.
¿Cuál es el perfil de la persona que realiza una auditoría?
Anteriormente se pensaba que debía ser alguien de un área técnica, pero no es así. Puede ser cualquier persona que esté dentro de la organización a quien le sea asignada esa responsabilidad. Esta persona debe conocer la importancia de la información, el ciclo de vida de la información y los riesgos a los que se enfrenta. Algo que ocurre en muchas ocasiones es que la información se protege muy tarde cuando, realmente, la información debe protegerse desde su creación.
En su experiencia como auditor, ¿cuál es la razón por la que las empresas hacen una auditoría?
En mi experiencia personal, esto atiende una cuestión correctiva, quizás sucede una fuga de información o hay una investigación en curso o un requerimiento legal, porque se descubrió que no hubo un tratamiento adecuado de los datos. Desafortunadamente, esta acción sigue siendo muy reactiva, sin embargo, existen algunos estándares que están tomando popularidad como el ISO 2701. Este estándar trata una gestión proactiva, donde la auditoría debería ayudarte a prevenir la ocurrencia de estas fugas de información.
¿Cuál es el proceso de una auditoría?
El primer paso requiere un conocimiento de la entidad que se va a auditar, a esto se le llama entendimiento del contexto. Cada empresa tiene riesgos particulares, ya sea por su situación geográfica, económica, administrativa, política, social, etc. Todo este contexto es fundamental para tener un primer entendimiento y acercamiento.
En el segundo paso es la revisión documental, donde se debe tener un criterio de auditoría. La mejor forma sería guiarse de un estándar internacional, por ejemplo, yo podría escoger ISO 2701 y, utilizando ese criterio, solicitar que me proporcionen la documentación que este estándar exige.
El tercer paso sería una preparación, a esto le llamamos un plan de auditoría acompañado de una lista de verificación. Aquí el auditor lo que hace es preparar las preguntas que va a realizar al ejecutar la auditoría en sitio. En esta etapa se trabaja en el campo, entrevistando a las personas que consideramos conveniente.
La auditoría siempre está basada en un muestreo, por ello, siempre debemos escoger una muestra de personas, una muestra de información y una muestra de procedimiento. En términos sencillos, es obtener evidencia para compararla con el criterio de auditoría y obtener hallazgos de conformidad o cumplimiento y hallazgos de no cumplimiento.
Estos hallazgos los utilizamos para una cuarta etapa que sería la obtención de conclusiones, donde desarrollamos un dictamen que recae en una recomendación o no recomendación para una certificación.
Luego de obtener conclusiones dictaminamos si se está haciendo un trabajo adecuado o no con respecto a la seguridad, para luego llegar a la última etapa que es la entrega del informe de auditoría y la finalización de la misma.
¿Cuáles son las debilidades de las empresas latinoamericanas en este tema?
En ocasiones las empresas tienen exceso de confianza y muchas veces solo hacen una implementación técnica como la compra de herramientas, olvidando la gestión que incluye una clasificación de información. Si no sabes si la información almacenada es crítica, sensible o confidencial, es difícil pensar que la estás protegiendo porque no sabes lo que tienes.
Asimismo, el otro problema dentro de la gestión es no dar seguimiento a los controles. Por ejemplo, instalar un antivirus no es suficiente porque se debe asegurar que este se actualice. Un error gravísimo y muy común, es que el antivirus no se ha actualizado desde que se instaló.
Además de los ingenieros y los especialistas en informática, ¿qué otro profesional se ve involucrado en estas gestiones?
Las personas de comunicación y de marketing, por ejemplo, tiene un papel decisivo, porque ellos nos ayudan a llevar el mensaje. Cuando algo no sale bien entra a tallar la contingencia, en esos casos el manejo de crisis y la comunicación es fundamental.
La seguridad de la información es una idea que se debe vender y eso no lo sabe el especialista en tecnología. Quien conoce de esto es el comunicador o el mercadólogo, acompañado del psicólogo, quienes te ayudan a armar un plan para convencer a la gente del por qué la seguridad es importante y por qué debes seguir todos los procedimientos y políticas.
Mario Ureña (México) Consultor en continuidad del negocio, gestión de riesgos, auditoria, control, calidad y seguridad de la información. Licenciado en Ciencias de la Informática egresado de la Unidad Profesional Interdisciplinaria de Ingeniería y Ciencias Sociales y Administrativas del Instituto Politécnico Nacional en la Ciudad de México.