SEGURIDAD DE LA INFORMACIÓN EN PYMES Y SGSI

07/03/2011

Seguridad de la información

La seguridad de la información vuelve a destacar en los medios de comunicación (si es que alguna vez ha dejado de hacerlo). El 11 de enero se detuvo en Francia a dos expertos en informática de ETA. Según distintos medios de comunicación, habían desarrollado un software que usa la banda para encriptar la información que manejan. Para quien no esté al tanto, encriptar significa codificar los datos con un algoritmo informático que impida que alguien que desconoce la clave, pueda descifrarlos. No es de extrañar que la banda lleve a cabo estas tareas. Si cualquier tipo de organización, cualquier empresa, dispone de información importante, es lógico pensar que ésta debe protegerse con medidas de seguridad proporcionales a la importancia de la misma.

Otro caso reciente lo tenemos en Wikileaks. Bradley Manning, militar de los estados unidos, presuntamente sustrajo los documentos que luego envío a Wikileaks. Según Adrian Lamo, hacker “reformado”, Manning quería sentirse importante. El ínclito militar trabajaba entonces en medio del desierto, rodeado de algunos ordenadores, y fue extrayendo los datos poco a poco, durante al parecer bastante tiempo, sin ser detectado. Estos casos afectan a la confidencialidad de la información pero otros afectan a la integridad y disponibilidad de la misma. Son por ejemplo los casos del edificio Windsor o más extremo, el caso del World Trade Center. Muchas empresas, de todos los tamaños, perdieron toda su información en estos desastres.


Seguridad de la información en las pymes

Las empresas pueden aprender una valiosa lección de estos ejemplos y no deben esperar a que el incidente de seguridad ocurra en su organización. Se puede pensar que pocas empresas disponen de información tan crítica como las organizaciones de los casos comentados, sin embargo, es lógico intuir, y mi experiencia eso me confirma, que todas las empresas, independientemente de su tamaño, tienen información que desean proteger y sistemas informáticos que necesitan para que el negocio funcione. Una empresa de desarrollo de software tiene el código fuente de las aplicaciones que desarrolla, un abogado tiene información personal y sensible de sus clientes o una fábrica de piezas de automóvil requiere que los sistemas informáticos que controlan la cadena de producción estén disponibles. Contabilidad, facturación, cartera de clientes, números de cuenta y tarjetas de crédito, pedidos, planes estratégicos, nóminas... la lista es interminable y dependiente del tipo de negocio y de la importancia que se le de a cada categoría de información. En muchos tipos de negocio, la seguridad de la información, además de ser importante internamente, también lo es para los clientes y potenciales clientes de dicho negocio.

Nos has convencido, la seguridad es importante... ¿por dónde empezamos? - Sí, la seguridad es importante, pero tengo otras prioridades.
Todo esto ya lo sabía. Mis datos están seguros.


Sistemas de Gestión de Seguridad de la Información (SGSI)

En general, las empresas más concienciadas con la importancia de la seguridad de la información, la enfocan como una carga necesaria, la asocian exclusivamente con seguridad informática y actúan apagando fuegos, sin una estrategia clara. Solo una pequeña cantidad de organizaciones disponen de un sistema de gestión de la seguridad de la información (SGSI). Un SGSI permite a las organizaciones gestionar la información de manera segura y correcta y, lo que es más importante, alineada con el negocio. La seguridad de la información puede y debe enfocarse de manera que beneficie a la organización, que la haga más eficaz y eficiente y que dicha seguridad repercuta en sus clientes y sea visible para sus potenciales clientes, incrementando las ventas. Un SGSI no garantiza que nuestra organización sea segura 100%. La seguridad total no existe (ver ejemplos al inicio del artículo si quedan dudas). Cuando hablamos de riesgos hablamos de probabilidades y frecuencias. Si gestionamos la seguridad, estamos reduciendo y controlando la probabilidad de que una amenaza determinada se materialice y cause pérdidas en nuestra organización. Muchas empresas, especialmente del sector de las tecnologías de la información, han ido creciendo a base de añadir servidores, sistemas y dispositivos de red y, frecuentemente, desconocen cómo están configurados los permisos de accesos a toda su información crítica y en ocasiones incluso no se tiene un conocimiento documentado de los activos informáticos que conforman toda su infraestructura.

Un SGSI permite ordenar los procesos relacionados con información embebiendo en ellos, la seguridad. Cuando hablamos del término “seguridad”, no estamos hablando solo de confidencialidad, sino también de integridad y disponibilidad y otros aspectos de la seguridad como trazabilidad y legalidad (conformidad legal). Durante la implantación de un SGSI se inventarían los activos de información de la empresa (instalaciones, personal, hardware, software, soportes, información digital y en papel) y se evalúan de manera cuantitativa los posibles riesgos para la seguridad de cada activo. De esta manera obtendremos un listado ordenado por criticidad de los riesgos de seguridad de la información que afectan a nuestro negocio. ¡Se acabó funcionar en base a ir apagando fuegos! El análisis de riesgos nos permite plantear una estrategia y nos dicta un camino a seguir. Cuando sea posible invertir en seguridad, invertiremos en el mayor riesgo para la organización, con una estrategia a medio plazo, y no en el problema más obvio o inmediato.


La norma internacional ISO 27001

Todo el trabajo que requiere la implementación de un SGSI en nuestra organización puede y debe repercutirse en nuestros clientes y puede y debe ser visible para nuestros potenciales clientes. Un SGSI debe permitirnos vender más y mejor. La norma ISO/IEC 27001:2005, más conocida simplemente como ISO 27001, establece los requisitos de un SGSI. Un grupo de trabajo profesional, depurando el conocimiento de numerosas empresas internacionales, ha documentado los requisitos mínimos que debe tener todo SGSI y lo ha declarado estándar internacional. No hay que reinventar la rueda. Un comité internacional de reconocido prestigio nos está diciendo cuales son los requisitos mínimos de un SGSI y las buenas prácticas en seguridad de la información. Implantar un SGSI en nuestra empresa conforme a la norma ISO 27001 nos reporta numerosas ventajas:

• No nos dejamos ningún área sin cubrir por descuido. La norma define 133 controles de seguridad (medidas de seguridad) que debemos aplicar.
• Nos aseguramos de seguir las mejores prácticas del mercado
• Cubrimos requisitos de otras ISO, ya que existen “solapes” entre las mismas
• Podemos certificar nuestro SGSI
• Cumplimos con leyes de obligado cumplimiento en materia de protección de datos

Como punto fundamental hay que destacar la posibilidad de certificar nuestro SGSI según la norma ISO 27001.

¿En qué consiste la certificación?

Una empresa independiente y acreditada envía a un equipo de auditores para revisar el funcionamiento del SGSI en nuestra empresa y certificar que efectivamente cumple con los requerimientos de la norma. Si es así, emiten un certificado y un sello que podemos y debemos utilizar como argumento comercial y de marketing. Una empresa independiente compromete su prestigio y su acreditación afirmando que garantizamos a nuestros clientes unas prácticas de seguridad determinadas en nuestra organización.

Si la seguridad de la información es un valor para nuestros clientes, certificar una buena gestión de la misma es algo diferenciador y definitivo en el mercado.


Subvención Innoempresa 2011

El programa Innoempresa 2011 del IMPIVA, en su actuación 2.3, proporciona a las pymes de la Comunidad Valenciana la posibilidad de subvencionar al 50% la implantación y certificación de un SGSI según la norma ISO 27001 durante el año 2011. El plazo de solicitud se abrió el 7 de enero y se cierra el 7 de abril. Aunque el plazo finalice el 7 de abril hay que recordar que entre la implantación del SGSI y la auditoría de certificación debe transcurrir un tiempo prudencial (dos o tres meses recomendablemente) por lo que las empresas que planifiquen hacer uso de esta subvención y no hayan comenzado la implantación de un SGSI según la norma ISO 27001 deben mover ficha cuanto antes.

Fuente: Coiicv