Por Hernán Beresñak

Introducción

En el presente ensayo se desarrollarán las principales conceptualizaciones, caracterizaciones y funciones de la denominada ‘seguridad de la información’, tanto desde un abordaje teórico como desde casos reales y concretos.

Conceptualización

La seguridad de la información consiste en el conjunto de medidas, procesos y procedimientos preventivos y reactivos, aplicado por empresas, gobiernos, dependencias públicas y organizaciones, que posibilitan a dichas entidades la protección y el resguardo de sus activos de información (i.e. equipos, usuarios e información), dado el gran valor y utilidad esencial que éstos revisten para ellas.

Puesto en un modo claro y directo: los distintos tipos de estructuras organizativas (empresas privadas, el Estado en sus diferentes niveles de gestión, etc) generan, recolectan, almacenan y tratan amplias y diversas clases de datos, los cuales revisten un valor central para estas entidades e, incluso, a menudo constituyen el activo más valioso para las mismas.

De modo que estas organizaciones se ven en la inexorable e impostergable necesidad de poner en práctica políticas de prevención frente a los –cada vez más rápidamente- crecientes riesgos cibernéticos, con la finalidad de salvaguardar la integridad y confidencialidad de su información, a la par que buscan garantizar la disponibilidad de la misma.

Elementos esenciales de la seguridad de la información

En base a lo consignado en el párrafo precedente, cabe delinear los tres pilares sobre los cuales se erige la ‘seguridad de la información’, entendida como proceso y como conjunto de medidas preventivas:

1) Confidencialidad: la información que se desea custodiar y proteger sólo debe ser accesible para aquellas personas especialmente autorizadas a ello. Esto puede alcanzarse mediante la implementación y combinación de diversos mecanismos de seguridad, como la autenticación multifactor, redes privadas, tokens de seguridad,
identificación biométrica, ,entre otros. Asimismo, es de suma relevancia la capacitación de las personas autorizadas para acceder a los datos e información de carácter confidencial, para que comprendan cabalmente cómo acceder y dar tratamiento a esta información de forma segura

2) Integridad: importa mantener incólume e inalterable la información en cuestión, en cuanto a su estado y contenido, no sólo respecto del ordenador en que esté almacenada, sino también respecto de los respaldos, documentos, informes, etc que la complementen. Por lo que deben evitarse intromisiones y accesos no autorizados, que puedan redundar en una modificación de los datos de gran valor y/o sensibles/privados de cualquier organización. Sólo mediante la debida autorización podrán alterarse estos datos. Aquí también revisten un importante rol las herramientas tecnológicas para evitar accesos y modificaciones no autorizadas de los archivos de datos-información en la empresa/organización/organismo gubernamental.

3) Disponibilidad: la información debe estar disponible en todo momento, para su acceso y visualización respecto de los usuarios autorizados a tal efecto. Es primordial evitar interrupciones del servicio, cualquiera sea la causa de los mismos, así como se deben prevenir y evitar, también, los ataques de denegación de servicio (‘DOS’, por sus siglas
en inglés).

El resquebrajamiento de cualquiera de los tres pilares recién presentados no es un problema menor para las organizaciones. Lejos de ello, constituye un riesgo inminente y de graves que debe ser mitigado con urgencia.

No debe pasarse por alto el costo- tanto en términos económicos como de imagen, reputación, y de tiempo consumido- que conlleva, para las entidades afectadas por la vulneración de sus mecanismos y procedimientos de seguridad de la información, la recuperación de la información robada y/o dañada, así como la reparación de sus sistemas de software hardware, producto de los ataques cibernéticos que pudieran sufrir, a raíz de las falencias en cualquiera de los tres elementos claves de la seguridad de la información.

En este entendimiento, vale resaltar la importancia de un adecuado y eficaz ‘plan de gestión de la seguridad de la información’.

El plan de gestión de la seguridad de la información

El propósito de este plan es el de “garantizar que los riesgos de la seguridad de la información sean conocidos, asumidos, gestionados y minimizados por la organización de una forma documentada, sistemática, estructurada, repetible, eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las tecnologías” (Fuente: Facultad de Agronomía de la Universidad de Buenos Aires, Argentina- Unidad de Tecnologías de la Información. Link: https://www.agro.uba.ar/uti/servicios/seguridad_informacion).

Sobre el particular, se ha explicado que “realizar un estudio de factibilidad y el análisis de requerimientos de acuerdo al negocio que necesite un sistema de información el cual debe mantener la información clasificada  ayudará en gran medida a la seguridad de la información…” (de Pablos, C., López, J., & Hermoso Santiago, M. (2014). Informática y comunicaciones en la empresa. Madrid: ESIC).

Un complemento imprescindible del ‘plan de gestión’ es la recuperación rápida y adaptativa, en caso de producirse daños sobre los sistemas y mecanismos de seguridad de la información, o bien sobre la información misma. De modo que debe idearse, a la par del referido ‘plan de gestión de la seguridad de la información’, un procedimiento para lidiar, de manera efectiva y celera, con las contingencias que pudieran generarse si el primer ‘plan’ es vulnerado.

Tanto al momento de diseñar o elaborar este plan, como en ocasión de su implementación y supervisión de su puesta en práctica, cobra especial preponderancia la figura del Director de Seguridad de la Información (‘CISO’, por sus siglas en inglés).

Este profesional se encarga, a grandes rasgos, de “garantizar la protección del activo más importante de cualquier entidad: la información” (“La figura del CISO: funciones e importancia”, 08.04.2021, publicado por Audea Seguridad de la Información, link: https://www.audea.com/la- figura-del-ciso-funciones-e-importancia/). De modo que quien ejerza este rol especializado se encargará de alinear la seguridad de la información con los objetivos de la empresa y de la actividad negocial de la misma.

Su conocimiento especializado en la materia, junto con su intervención en las tareas recién listadas –así como en otras complementarias-, serán imperativos para que la empresa de que se trate cuente con un plan de gestión de seguridad de la información eficaz y preventivo, acorde a sus activos de información y datos más valiosos, a los de sus clientes/usuarios y, en particular, a las nuevas formas en que se materializan los ciberataques contra estas entidades.

La importancia de un adecuado plan de gestión de la seguridad de la información para
las empresas y los gobiernos

Empresas

Para la empresa, en línea con los profundos cambios tecnológicos y económicos que se han ido produciendo, los datos constituyen un activo primordial para el desarrollo de su actividad económica, así como para la creación de nuevos negocios.

En este contexto, resulta indispensable para una empresa privada proteger y asegurar sus datos sensibles, de alto valor patrimonial y, por ende, confidenciales, al igual que los de sus clientes/usuarios y siendo éstos últimos el prisma a partir del cual, en la actualidad, se mide el éxito y potencial de crecimiento de todas aquellas empresas u organizaciones dedicadas a proveer servicios a sus clientes.

Así las cosas, las empresas están expuestas a toda clase de ciberataques: .malware (que, a su vez, puede consistir en un ransomware, spyware, virus, entre otros), phishing, ataques de denegación de servicio, etc.

Prueba de ello son los reiterados ataques que, con especial incremento desde el comienzo de la pandemia por Coronavirus, sufren las empresas de diversos rubros.

Todos estos ataques, en mayor o menor medida y con diversas consecuencias para las empresas víctimas de ellos, han redundado no sólo en daños de carácter económico (pérdida de beneficios) y operacionales (interrupción en su actividad habitual), sino también en su reputación, pues al robarse datos sensibles de sus clientes o usuarios, estas filtraciones no autorizadas minan la confianza en la empresa, tanto por parte de sus clientes –que son al mismo tiempo víctimas, pues su información y datos personales resultan sustraídos de las bases de datos de la empresa- como por el público en general.

Resulta sumamente esclarecedor, a los fines de dimensionar en términos prácticos la imperiosa necesidad de implementar técnicas y políticas empresariales de gestión de seguridad de la información, posar el foco de análisis sobre los datos arrojados por la encuesta –y su posterior informe- titulada ‘Digital Trust Insights 2021’, llevada adelante y elaborada por la firma PWC.

En lo que sin hesitación alguna fue una encuesta signada y cabalmente influida por los cambios tecnológicos introducidos subrepticiamente por la pandemia por Covid-19, “el noventa y seis por ciento (96%) de los encuestados a nivel global aseguró que ajustará su estrategia de ciberseguridad debido al COVID-19”.

Más aún, “la mitad de dicho porcentaje tiene más probabilidades de considerar la ciberseguridad en todas las decisiones comerciales, lo que representa un aumento del veinticinco por ciento (25%) a comparación de la edición anterior” [del informe en cuestión].

Conclusión

A modo de cierre, vale decir que la seguridad de la información constituye un elemento central para diseñar y proyectar el desarrollo y el cumplimiento de los objetivos de cualquier clase de entidad u organización (gubernamental, empresarial, con o sin fines de lucro). No puede plantearse una política comercial o de negocios, así como tampoco pueden esbozarse planes de gobierno, sin complementar tales estructuras con mecanismos que garanticen la confidencialidad, integridad y disponibilidad de los datos e información que, cada vez en mayor grado, conforman el activo más valioso con que cuentan las distintas clases de organizaciones.

Hernán Beresñak