La información se ha convertido en uno de los activos que toda empresa debe proteger y salvaguardar frente a un entorno adverso que atenta contra su confidencialidad, integridad y disponibilidad. Gestionar adecuadamente la seguridad de la información debe ser un medio encaminado a minimizar las amenazas a las que está expuesta, al tiempo que se optimiza la inversión en seguridad que una empresa debe afrontar, e incluso se mejoran las oportunidades de negocio.
Vivimos en un mundo donde surgen amenazas nuevas, cambian de forma o modo en que causan un impacto o bien llevan existiendo desde hace muchos años. Las amenazas se suelen clasificar de diversas maneras, por ejemplo, las amenazas internas a una organización y las externas; o bien las amenazas ligadas a personas humanas, a la tecnología o a causas naturales.
Un empleado desleal, un hacker desde un país lejano, programas maliciosos, virus, desactualización de software, una inundación, un incendio, un acceso indebido y no controlado de un usuario a nuestra red son amenazas que una organización tiene que conocer para calcular sus niveles de riesgo y saber cómo pueden afectar en impactar en su información y en sus procesos de negocio.
En España queda mucho trabajo por hacer, ya que son pocas aún las entidades que han implantado un Sistema de Gestión de Seguridad de la Información (SGSI) y los niveles de concienciación en materia de Seguridad por las organizaciones aún alcanzan cotas pequeñas. Con el espíritu de fomentar el conocimiento en materia de seguridad y su implantación en las empresas nació hace casi 2 años la Asociación para el Fomento de la Seguridad de la Información ISMS Forum Spain.
Una de las apuestas de ISMS Forum es crear un entorno neutral de profesionales para compartir experiencias y conocimiento en un sector tan necesitado de aprender de las prácticas que se desarrollan en otros países. La tendencia nos empuja a pensar en el tránsito del concepto de seguridad informática a seguridad de la información, y nos convenzamos de que se inicia la Era de la Gestión Responsable de la Información.
¿Qué significa la Era de la Gestión Responsable de la Información? Podemos dibujar un triple enfoque en el que necesitamos un cambio cultural para que la 1) Dirección de las organizaciones, 2) los empleados que trabajan en ellas y 3) los usuarios clientes finales; conozcan qué derechos tienen sobre la información que manejan, cómo deben gestionar los riesgos a los que se expone su información y qué obligaciones hay que tener en cuenta para gestionarla de forma adecuada.
Con ello avanzaremos hacia el camino del conocimiento de los riesgos, tratamiento de información para el negocio de forma ética, los sistemas avanzados de gestión de la seguridad, la protección de los activos más críticos, la disuasión de usuarios que pretenden quebrantar políticas o normas de seguridad, etc.
La normativa de protección de datos fue uno de los grandes pilares que en España fomentaron una conciencia de seguridad estableciendo la necesidad de implantación de medidas de seguridad en ficheros que contenían datos personales. Posteriormente se ha avanzado mucho en estándares internacionales, como la ISO 27001, que desarrollan modelos de gestión de seguridad de información de negocio, no sólo datos personales, y que permiten a través de su estructura PDCA (Plan Do Check Act) establecer un sistema ordenado de seguridad en una organización configurando acciones preventivas, reactivas y de mejora, pudiendo certificar dicho sistema.
Para conocer las últimas tendencias en relación con las amenazas en Seguridad en España y en otros entornos internacionales, se ha convocado a un grupo de expertos que el día 13 de noviembre se darán cita en Barcelona al amparo del 4º Evento Internacional organizado por el ISMS Forum, para analizar las amenazas a las que se enfrentan organizaciones públicas, cómo combatir el cibercrimen, formas de concienciar al personal de una organización con políticas adecuadas para evitar ataques internos, etcétera.
Como conclusión, cabe decir que todavía queda mucho camino por recorrer para hacer madurar los sistemas de gestión de seguridad en las corporaciones, así como una reflexión seria sobre las formas de combatir tanto las amenazas internas como externas en seguridad, todo ello para prepararnos para la Era de la Gestión Responsable de la Información.
Más información en www.ismsforum.es
