Seguridad de la información: un corte transversal a la organización

Resumen: Cada vez más, las arquitecturas tradicionales de las redes de centros de datos y de las empresas están siendo obligadas a adaptarse rápidamente a estos requerimientos dinámicos. Las aplicaciones se están moviendo hacia entornos de nube pública, privada o híbrida, donde ahora son consumidas como servicios; lo que dificulta cada vez más distinguir las barreras entre las redes empresariales y los dominios que no son dignos de confianza. Para mantenerse al nivel de estas tendencias, es necesario que evolucionen las infraestructuras de red de centro de datos y de las empresas, al igual que sus respectivos procedimientos operacionales.

Palabras Claves: seguridad de la información, organización, gestión, riesgos, tecnología.

Abstract: Increasingly, traditional enterprise and data center network architectures are being forced to quickly adapt to these dynamic requirements. Applications are moving to public, private, or hybrid cloud environments, where they are now consumed as services; making it increasingly difficult to distinguish barriers between business networks and unreliable domains. To keep up with these trends, business and data center network infrastructures need to evolve, as do their respective operational procedures.

Desarrollo:

Confidencialidad, integridad y disponibilidad, tres términos que son recitados con la técnica y la teoría mediante el estándar internacional ISO 27001, el cual pretende el establecimiento de un sistema de gestión de seguridad de la información; pero, realmente en el contexto corporativo y práctico, ¿cuál es el verdadero significado de este planteamiento? Esto es lo que, desde el punto de vista estratégico y de auditoría interna, se pretende exponer en el presente artículo.

Antes que nada, una certificación internacional o bien, el mismo establecimiento de un sistema de gestión de seguridad de la información, no debería ser otro tema, más que el resultado de la afirmación de un compromiso institucional desde el nivel de toma de decisiones hasta las instancias operativas, y cuyo beneficio constituya un elemento tangible de generación de valor y factor diferenciador de la institución que lo implemente, ante sus pares; ya sea esto en el ámbito privado, estatal, o de cotización bursátil.

El Foro Económico Mundial, a través del Informe Global de Riesgos se ha encargado de expresar anualmente, al menos desde hace ya varios años, la dimensión e importancia que tienen los diferentes ambientes de riesgo ante la sociedad en general, y en auge los últimos años los riesgos de ciberseguridad y fraude en la información; y de manera muy curiosa, una baja significativa en el perfil de estos riesgos en el informe del año 2020, en donde se exponen como de vital importancia temas de desastres naturales, pérdida de biodiversidad, armas de destrucción masiva, eventos climatológicos extremos, entre otros.

En dicho sentido, la seguridad de la información debe constituir una filosofía de índole estratégico, más que un tema técnico, como muchos opinarían; en virtud de representar el resguardo y la adecuada gestión de la información, y sus diversas manifestaciones de sensibilidad; no sólo de sus clientes, sino del amplio espectro de grupos de interés que girar alrededor de la operación. Más aún, en una actualidad disruptiva en donde la tecnología, la innovación, la estrategia, y la interrelación de estos tres elementos son el presente y el futuro de todas las organizaciones, y en cuanto más responsable sea una institución, no sólo en la aceleración de estas tres fuerzas, sino en la gestión adecuada de los riesgos que esta realidad representa; los réditos serán consecuentes con la alineación y superación de las expectativas de sus stakeholders.

Mucho se narra respecto de las profesiones del futuro o de las actividades obsoletas, en donde se proyecta una inclinación hacia habilidades de innovación tecnológica y de ciertas softskills, sin embargo, el denominador común de un líder en el campo “profesional”, será determinando en el sentido de observar a la institución desde un foco panorámico y con un corte transversal, saliendo del enfoque tradicional, que cita a la cadena de valor como el eslabón más fuerte, por el contrario, implementar no sólo actitudes de promoción en materia de ciberseguridad, sino, el movimiento de un engranaje que compatibilice los procesos de decisión estratégica, el core business, y las actividades de apoyo.

La actividad profesional de auditoría interna, como un aliado estratégico, unido en la misión de agregar valor en todos y cada uno de los procesos de la institución deberá ser un promotor dinámico en la observancia permanente de los riesgos inherentes que trae consigo la realidad presente de innovación tecnológica.

En este contexto, la Fábrica de Pensamiento, el think tank del Instituto de Auditores Internos de España ha abordado en varios documentos las diferentes manifestaciones de los riesgos cibernéticos, tanto por medio de fraude dinerario, robo de información, indisponibilidad de servicios, pérdida de reputación, sabotaje de infraestructuras, entre otros. Lo anterior con un potencial a ser perpetuado por diferentes perfiles de los atacantes (hacking, cibercrimen, hacktivismo, ingeniería social, ciberespionaje, insiders y ciberterrorismo). Elementos con un aumento exponencial, no sólo por los conceptos planteados en el presente artículo (innovación tecnológica y disrupción), sino, expuestos de una forma latente por el auge de tecnologías de índole financiero tales como, las criptomonedas, blockchain y las fintech, nuevas aristas que representarían no sólo riesgos organizacionales, más bien, riesgos sistémicos para economías a nivel internacional

Referencias bibliográficas

“A well-informed sense of assurance that information risks and controls are in balance.” (Anderson, J., 2003)

“Information security is the protection of information and minimizes the risk of exposing information to unauthorized parties.” (Venter and Eloff, 2003)  The Government of the Hong Kong. An Overview of Information Security Standards. 2008. Hongkong.

Overview on COBIT. http://www.benchmarklearning.com/COMMUNITIES/ITIL/cobit.aspx

Overview on British Standard. http://www.bsigroup.com/en/Standardsand-Publications/About-BSI-British-Standards/

http://www.isaca.org/KnowledgeCenter/COBIT/Pages/Overview.aspx

http://www.iso.org/iso/about/discover-iso_isos-name.htm