Project Description

Protegiendo la Información
La Norma ISO 27001

¿Que es lo que para una empresa puede representar el término “activo crítico”? ¿Una máquina, su marca, un proceso, su edificio o emplazamiento? La respuesta es “sí” en todos los casos: todos esos pueden ser nombrados como activo crítico por una organización, ya que sin duda pueden ser tenidos en cuenta al momento de evaluar que pasaría con dicha organización su ese activo se perdiera. Incluso estamos mencionando activos no tangibles, como el caso de la marca, ya que a veces  constituye la razón misma del negocio.

Nótese que no nos hemos situando dentro del corazón de los procesos que agregan valor en una empresa para destacar nuestros posibles activos críticos, salvo por el hecho de que la máquina, que sí mencionamos, forma parte de ese proceso. Si nos adentramos más en la cuestión, podemos dejar en evidencia que el know how de la empresa que permite llevar adelante el proceso o la información que insume, procesa o genera puede ser la causa y efecto del mismo. Dicho de esta forma parece una espiral retórica, cuestión que se soluciona fácilmente con un ejemplo: no importa cuanto cuesten los servidores que utilizamos para procesar información de cuentas corrientes a lo largo y a lo ancho del mundo en el centro de cómputos de una multinacional; lo que realmente importa es la información que estamos procesando, porque en ella vive el sustento de la empresa. Sería vital para esa empresa asegurar que la información se mantuviera disponible, íntegra o confidencial. Justamente de eso se trata un Sistema de Gestión de la Seguridad de la Información (SGSI), y los tres últimos conceptos mencionados son los pilares sobre los cuales se basa la normativa internacional ISO 27001:2005, y que la hacen el instrumento más importante a la hora de garantizar la continuidad del negocio cuando la información que se maneja dentro de sus procesos que agregan valor es un “activo crítico”.

Existen innumerables tipos de informaciones críticas para una organización que merecen ser tenidas en cuenta tales como los registros de ensayo de un nuevo prototipo para una automotriz, los archivos fuente de las aplicaciones en una firma de desarrollo de software, o hasta para un hospital podrían serlo sus historias clínicas. Y la mera mención de éstas nos remite a un tema legal muchas veces no tenido en cuenta a la hora de cuantificar o ponderar los riesgos acarreados para las empresas, por manejo de la información de los usuarios: la Ley de Protección de datos Personales, o Ley de Habeas Data (25.326), pensada y promulgada específicamente para proteger los datos sensibles de las personas.

Cada una de las amenazas para la seguridad de la información – llamados de esta manera a cada incidente que  puede desencadenar un incidente en la organización, produciendo daños materiales o inmateriales – conlleva un riesgo potencial de impacto, el cual puede ser el resultante de la materialización de la amenaza. Cuando dichas amenazas son “sistemáticamente” identificadas, ponderadas, evaluadas y tratadas, es posible llegar a su mitigación o eliminación, cuando sea posible. De esta forma la información crítica se va haciendo menos vulnerable y más segura, a medida que pasa el tiempo y se implementan los sucesivos planes de mejora para lograrlo. Como en casi todos los estándares evolucionados a partir de las normas de Gestión de la Calidad (ISO 9001 es la madre de todas), la mejora continua es un requerimiento ineludible y que le da forma y razón de ser a la evolución de las organizaciones.

Las amenazas pueden provenir tanto de dentro como de afuera de la organización, y pueden ser provocadas por acciones maliciosas contra los activos de una empresa como por malas prácticas u omisiones en las tareas que lleva adelante el personal de una empresa, y que lo acercan a la información poniendo en jaque al sistema. Mientras que existen herramientas cada vez más sofisticadas para atacar a una organización, también existen cada vez más formas de contrarrestarlas, siendo que la única manera comprobadamente efectiva de reducir la incidencia de las malas prácticas internas es la capacitación permanente del personal a cargo de las operaciones.

Ahora bien, para implementar un SGSI la organización debe estipular formalmente los requisitos de seguridad de la información con los que va a operar, de acuerdo a la política propia o a la legislación vigente. En función de éstos podrá construir un sistema que permita gestionar los procesos operativos de acuerdo a la política y objetivos enfocados en la seguridad de la información, y posteriormente implementar y operar controles para mitigar o eliminar  los riesgos a la seguridad de la información y los datos críticos. El reto permanente al que se hace frente con un SGSI es tan importante como los beneficios que pueden obtenerse de su correcta aplicación: añadir valor a los negocios mejorando la eficiencia de los procesos del negocio y su seguridad; luchar contra el aumento de la sofisticación de las amenazas; reducir los costos derivados de la falta de gestión de la seguridad y aumentar la seguridad corporativa y el cumplimiento de las normas legales. Todos estos desafíos requieren un SGSI adecuado para demostrar que la empresa está gestionando correctamente y día a día sus activos críticos de información.