En estos días, WikiLeaks se transformó en una historia extraordinaria por un buen motivo: no es muy habitual encontrar publicados en Internet documentos confidenciales del gobierno más poderoso del mundo. Y algunos de estos documentos son, para decirlo respetuosamente, embarazosos.
No voy a escribir aquí sobre si fue legal o no que WikiLeaks publicara esa información, si la información debería haberse dado a conocer o no porque es de interés público, qué sucederá con el fundador de WikiLeaks (al momento de redactar este artículo, Julian Assange se encontraba detenido), etc.
El problema es que si WikiLeaks es cerrado, aparecerá un nuevo WikiLeaks. En otras palabras, la amenaza de fuga de información a la opinión pública aumenta constantemente (A propósito, antes de ser encarcelado, Julian Assange había anunciado que publicaría información discriminatoria sobre uno de los principales bancos de EE. UU. y sobre negligencias en sus actividades).
Aquí quiero tocar el punto de vista corporativo. ¿Qué pasaría si somos nosotros el próximo objetivo de WikiLeaks o de su clon? ¿Cómo garantizar la seguridad de nuestra información y evitar el daño de un incidente tan importante?
Un simple ejemplo
¿Pero cómo es la seguridad de la información en la práctica? Tomemos un simple ejemplo. Por ejemplo, usted deja con frecuencia su ordenador portátil en su automóvil, sobre el asiento trasero. Es muy probable que, tarde o temprano, se lo roben.
¿Qué puede hacer para disminuir ese riesgo? Ante todo, puede crear una regla (redactando un procedimiento o una política) que establezca que los ordenadores personales no pueden ser dejados en un vehículo desatendido; o que se debe estacionar el vehículo en un lugar que tenga algún tipo de protección física. Segundo, puede proteger su información configurando una clave segura y encriptando sus datos. Además, puede exigirles a sus empleados que firmen una declaración por medio de la cual se hacen legalmente responsables por el daño que pueda resultar. Pero ninguna de estas medidas será efectiva si no les explicó las reglas a sus empleados a través de una breve capacitación.
¿Qué conclusiones puede sacar de este ejemplo? La seguridad de la información nunca es una única medida de seguridad, siempre abarca varias juntas. Y estas medidas de seguridad no son solamente relacionadas con TI, sino que también involucran cuestiones organizativas, gestión de recursos humanos, seguridad física y protección legal.
El problema es que esto fue sólo un ejemplo de un único ordenador personal, sin amenazas internas. Ahora piense qué tan complejo es proteger la información en su empresa, donde la información se archiva no solamente en sus ordenadores sino también en diversos servidores; no solamente en los cajones de su escritorio sino en todos sus teléfonos móviles; no solamente en unidades USB sino también en la cabeza de todos los empleados. Y es posible que tenga algún empleado descontento.
¿Parece una tarea imposible? Difícil, sí. Pero no imposible.
¿Cómo encararlo?
Lo que necesita para resolver este complejo problema es un marco referencial. La buena noticia es que ese marco referencial ya existe bajo la forma de normas. La más divulgada es la ISO 27001, la principal norma internacional para gestión de seguridad de información, pero también hay otras: COBIT, serie SP 800 de NIST, PCI DSS, etc.
Me enfocaré aquí en la norma ISO 27001; pienso que le otorga una buena base para edificar el sistema de seguridad de la información porque suministra un catálogo de 133 controles de seguridad y ofrece flexibilidad para aplicar solamente aquellos controles que son realmente necesarios en relación con los riesgos. Pero lo mejor que tiene es que define un marco referencial de gestión para controlar y atender los asuntos de seguridad, logrando, de esta forma, que la gestión de la seguridad sea parte de la gestión general de una organización.
Resumiendo, esta norma le permite tomar en cuenta toda la información en diversos formatos y todos los riesgos y le ofrece una guía para resolver cada problema potencial y para mantener segura su información.
Consecuencias para el negocio
Entonces, ¿deberían las corporaciones temer que se filtre a la opinión pública su información? Si están haciendo algo ilegal o no ético, seguramente que sí.
Sin embargo, las empresas que trabajan legalmente, si desean proteger su negocio, no pueden pensar únicamente en términos de rendimiento de la inversión, participación de mercado, capacidades principales y visión a largo plazo. Su estrategia también debe comprender temas de seguridad ya que tener información insegura les puede costar mucho más que, por ejemplo, el lanzamiento fallido de un nuevo producto. Por seguridad no me refiero solamente a seguridad física, simplemente porque ya no es suficiente; la tecnología hace posible que se filtre información de diversas formas.
Lo que se necesita es un enfoque integral de seguridad de la información; no importa si utiliza la norma ISO 27001, COBIT o algún otro marco referencial, siempre y cuando lo haga en forma sistemática. Y no es un esfuerzo de una única vez, es un trabajo permanente. Y sí, no es algo que su gente de TI pueda hacer sola. Es algo en lo que debe participar toda la empresa, comenzando por la junta directiva.
Para saber más sobre la seguridad de la información, consulte este curso gratuito de formación en línea ISO 27001 Foundations Course.