Autor: Lic. Cristian F. Borghello
Ver Segundo Artículo: Políticas de Seguridad de la Información (II)
Ver Último Artículo: Políticas de Seguridad de la Información (y III)
Hace tiempo cuando empecé a abordar el tema de la seguridad informática cometí el error de pensar que la seguridad en una organización podía lograrse con una gran cantidad de herramientas y elementos técnicos. El tiempo, la experiencia y la permanente capacitación me han demostrado cuan equivocado estaba y es por eso que he decidido volcar en estas líneas algunos argumentos que ayuden a aquellos que recién comienzan a no cometer los mismos errores.
En el mundo actual la INFORMACIÓN es el elemento primordial de cualquier organización y por ende la SEGURIDAD DE LA INFORMACIÓN (SI) es un asunto tan importante como la información misma, pues afecta directamente a la organización o a individuos de la misma.
Como aprendimos en la escuela siempre que hay un proceso de
comunicación los elementos que intervienen son: la información
transmitida, el emisor, el medio por el cual se transmite y el
receptor.
Si acordamos en llamar ACTIVOS a estos elementos entonces, podremos
identificar lo que la SI debe proteger:
El primer paso para abordar el tema de la SI es reconocer los RIESGOS a los que están expuestos esos activos y el impacto que esto origina a los objetivos de la organización.
Actualmente existen infinidad de legislaciones, políticas, normas, metodologías y herramientas que dan soporte a la SI y que pueden ser libremente utilizadas por las organizaciones a fin de ordenar la gestión de la seguridad.
Algunas de estas normas simplemente buscan la normalización de las tareas, como es el caso de la ISO 17799, y otras tienen como objetivo la certificación internacional en estos temas, como la ISO-9001 o la BS-7799.
Más allá de cual sea el criterio aplicado, incluso puede ser uno propio, llegaremos a que todas las etapas se pueden resumir en el concepto que la SI tiene como objetivo preservar:
Para lograr estos objetivos es fundamental contar con el acuerdo y compromiso de todos los involucrados, ser acordes y estar alineados a los objetivos generales de la organización.
Así, es más que claro que la seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión, política y procedimientos adecuados que consideren a las personas como el primer eslabón, y generalmente el más débil, de una compleja cadena de responsabilidades.
Buenos Aires, 20 de noviembre de 2005