La gestión en seguridad de la información no se limita al ámbito tecnológico; menos aún a la implementación de barreras y firewalls. ¿Por qué? Los ataques digitales externos constituyen apenas el 26% de los problemas que aquejan a las empresas. No son los hackers, tampoco los malwares. Contrario a lo que habitualmente se piensa, la mayoría de inconvenientes informáticos se originan al interior de las empresas: contratos sin cláusulas definidas, falta de capacitación, ausencia de políticas y manuales de prevención. Las causas estructurales que explican por qué se filtran los datos, no están alejadas de la cotidianidad.
Al respecto conversamos con Martín Elizalde, abogado y experto en seguridad informática, sobre los desafíos que plantea un manejo responsable de data.
¿Qué importancia tiene la seguridad de la información dentro de las empresas?
La seguridad cumple una función estratégica. Más aún, si se considera que la información es el principal activo de una empresa. Por ejemplo, si una organización pierde o, en el peor de los caos, comercializa los datos de sus clientes, no solo deteriora su imagen: el daño reputacional también recae sobre las ventas.
Por ello, cualquier organización que maneje información de terceros, debe manejar protocolos y sistemas de seguridad rigurosos.
¿Qué protocolos internos se aplican dentro de las empresas?
Los protocolos determinan cómo actuar antes, durante y después de una situación de crisis. Sin embargo, la naturaleza del mismo varía conforme el tipo de problema: no es lo mismo un fraude interno, que un ataque externo. Sin embargo, existen mecanismos generales que pueden ser replicados: uno de ellos, y que es un pilar al momento de una intervención, es la capacitación continua de las personas.
Igualmente, es recomendable que las empresas cuenten con una suerte de comité ejecutivo que defina los roles, procedimientos y acciones.
¿En qué consiste esta capacitación?
La capacitación implica procesos de concientización sobre cómo manejar adecuadamente la información, mismos que están alejados de los conocimientos técnicos o especializados. Al contrario, supone un entendimiento básico: cómo usar claves, cómo iniciar sesión, cuáles son los sitios seguros, qué tipo de navegadores emplear, qué sitios y aplicaciones evitar. La clave está en la prevención.
Esto implica que la seguridad de la información no se limita al departamento de sistemas.
Exactamente. Las barreras y firewalls atienden apenas a un cuarto de los problemas. El resto de los inconvenientes surgen del tipo contratos suscritos, de la ausencia de capacitación, de los procesos internos. La seguridad de la información es cuestión de cultura organizacional, no de un departamento en particular. Más aún, si considera que este ámbito va más allá de una perspectiva tecnológica y apunta hacia las personas.
En esa línea, ¿cuál es el perfil del responsable de gestionar la seguridad de la información dentro de las organizaciones?
El oficial principal de seguridad de la información, CISO por sus siglas en inglés, es un profesional que además de un sólido bagaje en el aspecto tecnológico, posee amplios conocimientos en leyes y gestión del talento humano. Además, es una persona activa, capaz de analizar, transmitir y sinterizar problemas en términos simples.
El CISO no describe las propiedades de un software, comunica algo más simple: si las empresas quieren promover sus resultados, tienen que preservar sus activos informáticos.
¿Cómo actuar legal y éticamente?
Lo más importante está en la actitud. Si una organización decide cuidar la data de sus clientes, hará todos los esfuerzos que estén a su alcance. En el camino puede sufrir errores, incluso perder credibilidad. El reto está en mantener una visión de largo plazo.
Cambiando de tema, las organizaciones ¿de qué manera deben adoptar los estándares en seguridad de la información?
Los estándares internacionales sugieren actuar con prudencia: no se le puede exigir el mismo nivel de seguridad informática a un banco que al emprendimiento con 5 empleados. Así no funciona. La lógica de los marcos regulatorios, así como de la normativa, no está en coartar la economía, sino en generar procedimientos de protección conforme una organización lo permita.
Cabe añadir que los estándares son producto del diálogo entre ciudadanos, no entre corporaciones. El riesgo informático es el más democrático de los peligros.
¿Qué parámetros sugiere el Reglamento General de Protección de Datos de la Comunidad Europea?
En contraste de algunas críticas, el reglamento europeo propone una metodología que busca el cumplimiento de estándares en seguridad adecuados. Como lo mencioné antes, los marcos normativos no pretenden complicar el funcionamiento de las organizaciones. La mayoría de empresas ve a este documento como una camisa de fuerza infranqueable, aplicable a 3 corporaciones y 4 bancos. No lo es: el secreto está en adaptar y mejorar sus postulados.
Sobre Martín Elizalde:
Abogado de la Universidad de Buenos Aires, Argentina y master en Leyes por el Washington College of Law, Martín es senior consultant en The Berkeley Research Group.
En contexto:
La conferencia de Martín Elizalde convocó a 110 asistentes provenientes de diferentes industrias. Este evento fue organizado por nuestra la Maestría Gestión de Seguridad de la Información de la UDLA.
Esta visión sistemática e integral en temas de connotación normativa, es analizada a profundidad en la Maestría en Gestión de Seguridad de la Información de la UDLA.
