¿Cómo empiezo a gestionar la seguridad de la información en mi empresa?
Escrito por Andrés Molina
oct 16, 2020
Más que una política, considero que la seguridad de la información la deberíamos interiorizar como parte de nuestra cultura y no solo a nivel de la empresa, ya que muchas veces creemos que la seguridad es un tema que debe ser tratado por los gerentes de las empresas y que el resto del equipo de trabajo solo debemos cumplir. Sin embargo en mi opinión la seguridad de la información la debemos aplicar tanto en el trabajo como en la vida personal. Para comenzar, nos centraremos en el anexo A5 y A6 de la ISO 27001, que nos brinda consideraciones clave para empezar a gestionar la seguridad de la información.
Dominio A5 - POLÍTICA PARA LA SEGURIDAD DE LA INFORMACIÓN
La mayoría de los recursos que gestionamos al interior de nuestra compañía son activos de información y por ello es importante tener implementada de forma clara una política que nos brinde ese apoyo para poder identificar y salvaguardar esos recursos que son valiosos. Al igual que hacemos en nuestro día a día en nuestro hogar, un ejemplo es nuestro documento de identificación (cédula de ciudadanía en la mayoría de casos), el cual mantenemos por lo general en un mismo lugar, ya sea nuestra billetera, una caja fuerte o nuestra mesita de noche; un lugar donde sabemos que siempre la vamos a encontrar. Esto lo hacemos casi que en modo automático y así pasa con mucha más información que manejamos de forma desapercibida.
Si tienes hijos te invito a que verifiques dónde tienes toda su información, es muy probable que cuentes con una carpeta donde guardes una copia del registro civil, del carnet de vacunas, de los medicamentos que le han enviado, de los exámenes, etc. De igual manera, posiblemente tengas una carpeta para ti, pero nada de esto lo tienes documentado, no tienes un manual donde tengas escrito dónde debe ir cada cosa y de qué forma debe quedar almacenada. Esto pasa porque ya lo tienes interiorizado y en la cultura de tu hogar, pero en las organizaciones no pasa esto; son muy pocas las personas que son conscientes de la importancia de tener definido este tipo de controles. Por ello es importante que la cabeza de la organización defina e implemente una política, para que sirva de guía y orientación sobre el manejo de la información, que sea conocida y entendida por todo el personal.
Lee también: cómo cumplir la ISO 27001 con KAWAK®
Sin embargo la tarea no termina allí; es necesario que esta política se revise periódicamente, ya que las leyes, reglas del negocio y el entorno en que nos desenvolvemos día a día es cambiante. Vivimos en un mundo que cada día genera cosas nuevas, nuevos mecanismos, más información en canales digitales, más procesos automatizados, que nos permiten mejorar procesos que impactan en nuestra calidad de vida, por ejemplo pronto podremos solicitar la expedición de los documentos de identidad en medio digital. Por esto es importante estar a la vanguardia y adaptar nuestras políticas y procesos de seguridad de manera oportuna.
Te invito a que revises si en tu organización existe una política de seguridad de la información; si está acorde con las normativas legales vigentes de tu país y con el entorno en que se desenvuelve tu organización. Si no existe, adelante! toma la iniciativa para implementarla, esto no es solo responsabilidad del gerente, es responsabilidad de todos. Podemos evitar muchos problemas, no sólo personales, sino legales o contractuales, si tenemos clara y socializada una política de seguridad de la información en la empresa.
Dominio A6 - ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Este anexo (Anexo A6 ISO 27001) es para mi la base fundamental de la seguridad en una organización, pues nos indica los aspectos fundamentales que debemos establecer para organizar y gestionar la seguridad de la información en la empresa.
Como sabemos, hoy en día la información es más accesible gracias a la constante evolución de la tecnología y es por ello que todos sin excepción tenemos responsabilidades a la hora de organizar y proteger la misma, ya sea en nuestro ambiente corporativo, como en lo personal. Muchos compartimos información personal en redes que a veces tienen que ver con nuestro trabajo; sin embargo existe información interna de la empresa que se debe proteger o no divulgar. Por ello es importante que se definan roles y responsabilidades que permitan determinar quién, cuándo y cómo se debe salvaguardar la información y los activos de información de nuestra organización.
La seguridad debe cubrir todos los frentes, es decir, todos los procesos que hacen parte de nuestra organización, de punta a punta, incluyendo a nuestros proveedores externos y a nuestros clientes y usuarios. Por ello es apropiado definir y organizar los activos de información a proteger de cada uno de los procesos de la empresa y también si aplica definir políticas para el uso de dispositivos.
Si como colaborador de la empresa requieres usar un dispositivo móvil para tu trabajo, necesitas tener claro qué uso se le debe dar, qué controles debes implementar y qué aplicaciones puedes instalar, para dar algunos ejemplos. Algunos dispositivos cuentan con aplicaciones que permiten una doble autenticación de seguridad, que permite bloquear el acceso a ciertas aplicaciones, con el fin de que nuestros hijos, familiares o extraños puedan acceder a aplicaciones confidenciales de la empresa.
De esta misma forma, las organizaciones deben establecer políticas que nos permitan tener claro qué podemos y qué no podemos hacer con nuestros dispositivos móviles y demás herramientas de trabajo, cuando el teletrabajo es una realidad. Empresas que antes no se imaginaban operar de forma virtual, ahora vieron la importancia de implementar políticas para el uso de los computadores y demás dispositivos de sus empleados desde sus casas.
Todo lo anterior, seguridad de dispositivos, teletrabajo, roles y responsabilidades frente a la información, tienen diferentes marcos legales vigentes con los cuales se puede guiar a las organizaciones para que operen de forma segura y remota. Adicionalmente existe información y documentación que podemos encontrar en la página de Mintic (Ministerio de Tecnologías de la Información y las Comunicaciones de Colombia) y otras entidades como la Policía Nacional, que nos pueden servir de guía para implementar estos controles y políticas de seguridad en nuestra organización.
Te invito a que verifiques si en tu organización cuentan con políticas de seguridad y hazlo cultura en tu diario vivir; esto te ayudará a evitar problemas futuros.