La seguridad de la informacin: Aspecto crucial que toda empresa del siglo XXI debe gestionar

Information security: A crucial aspect that every company in the 21st century must manage

MSc, Roxana Patricia Cedeo Villacs[1]

rcedenov@hotmail.com

 

Fecha de recibo: diciembre 2017, Fecha de aceptacin: febrero 2018

RESUMEN

Este trabajo de investigacin ha sido orientado a vislumbrar desde la revisin literaria, los aspectos cruciales que debe considerar la empresa para salvaguardar su informacin a travs de la aplicacin de normativas internacionales ms reconocidas como son ISO/IEC 27001, ITIL y Cobit, con el fin de que la empresa pueda alcanzar su meta de disminuir las amenazas y vulnerabilidades, sean estas de origen interno o externo. Al inicio del artculo, se enfoca en presentar la conceptualizacin de seguridad de la informacin, riesgo, amenaza y vulnerabilidad; adems, aborda brevemente una explicacin de las 3 normativas mencionadas anteriormente, y hace hincapi de la preocupacin de los empresarios para los ataques que estn afectando a las organizaciones; luego, se explica una metodologa propuesta en relacin de aspectos que debe considerar para la implementacin de la seguridad de la informacin. En la ltima parte la Autora seala las conclusiones y recomendaciones. El presente documento, es producto de la revisin literaria obtenida de fuentes secundarias.

 

Palabras Clave: Seguridad de la informacin, Empresa del Siglo XXI, Vulnerabilidad, Amenaza, Riesgo

 

ABSTRACT

This research work has been oriented to envision, from the literary review, the crucial aspects that the company must consider safeguarding its information through the application of more recognized international regulations such as ISO / IEC 27001, ITIL and Cobit, in order to that the company can achieve its goal of reducing threats and vulnerabilities, whether internal or external. At the beginning of the article, it focuses on presenting the conceptualization of information security, risk, threat and vulnerability; In addition, it briefly addresses an explanation of the 3 regulations mentioned above and emphasizes the concern of entrepreneurs for the attacks that are affecting organizations; then, a proposed methodology is explained in relation to aspects that must be considered for the implementation of information security. In the last part, the Author points out the conclusions and recommendations. This document is the product of literary review obtained from secondary sources.

 

Key words: Information Security, 21st Century Enterprise, Vulnerability, Threat, Risk

 

Introduccin

Con la llegada del siglo XXI, los empresarios empezaron a preocuparse cada vez ms por la automatizacin de sus procesos y por conseguir herramientas informticas que les permitan obtener resultados de manera ms gil para su toma de decisiones. Adems, observaron que el tratamiento de su informacin mediante aplicaciones informticas era un mecanismo ideal para obtener una respuesta con mayor precisin en las acciones a emprender para su competitividad.

Las empresas con el tiempo se hicieron cada vez ms tecnificadas; por lo que, sus Directivos empezaron a sentir temores y preocupaciones por los posibles riesgos que conlleva el uso de la tecnologa, y la dependencia como tal a estas herramientas y aplicaciones informticas; y el pensar, que su informacin est en bases de datos que de alguna u otra manera pudieren verse amenazados o vulnerables ante situaciones externas o por aquellas que internamente el personal tcnico no atendiere de manera oportuna.

En ese sentido, las preocupaciones latentes ante los posibles riesgos relacionados con la tecnologa de informacin han permitido a organismos internacionales la generacin de normas y recomendaciones para que las empresas lo pongan en prctica; esto, con el fin de disminuir las brechas que pudieren afectarle a futuro. En este trabajo de investigacin, se mencionar algunas normas y modelos muy tiles para que las empresas puedan aplicarlo.

El presente documento, tiene como objetivo proveer el empresario de las directrices generales para que gestione la seguridad de la informacin en su organizacin. El impacto esperado del mismo es estimular a los directores y/o Gerentes a precautelar el bien ms preciado de su empresa, que es la informacin.

El siguiente trabajo, ha sido desarrollado bajo el enfoque cualitativo a travs de documentacin extrada de fuentes secundarias provenientes de artculos cientficos, tesis, sitios web de empresas consultoras y peridicos. En este escrito, se utiliz la investigacin descriptiva.

 

 

 

 

 

 

Desarrollo

Segn [1] la informacin es el activo ms valioso de una organizacin; y, por lo tanto, es necesario implementar tcnicas cada vez ms sofisticadas para protegerla. Para [2] la seguridad de informacin est relacionada con la preservacin de la confidencialidad, la integridad y la disponibilidad de la informacin, pudiendo, adems, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio.

Para [3] el concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. En cambio, la seguridad de informacin se encarga de la proteccin de la informacin de la empresa.

Refiere [4] que los servicios de tecnologas de la informacin son cada vez ms complejos, produciendo afectaciones en el tiempo y en los costos; todo en funcin, de obtener una mayor eficiencia empresarial, que a la larga se hace ms difcil de administrar.

Todo este proceso relacionado con la TI, hace que se derive en situaciones de amenazas y vulnerabilidades; entindase por amenaza a la situacin o evento en la que el sistema se encuentre en posible peligro y genere como consecuencia un dao; la vulnerabilidad, es aquella debilidad que puede tener el sistema y que puede convertirse a futuro en amenaza. Por ejemplo, un terremoto es una amenaza latente para los sistemas informticos, y la vulnerabilidad puede ser que el Centro de datos se encuentre ubicado en una zona altamente ssmica.

Otro factor fundamental que debe conocer la empresa, son los riesgos; al riesgo se lo define como la probabilidad de que un evento pueda ocurrir. Estos riesgos pueden tener diferentes tipologas, algunos autores han clasificado a los riesgos en fsicos, qumicos, biolgicos, ergonmicos y psicosociales; otros, refieren adems de los anteriores, a los riesgos tecnolgicos, riesgos naturales y riesgos financieros. Para poder atender y remediar aquellos eventos de riesgos que pudiere presentarse en la empresa, es necesario que, dentro de la misma, se implemente polticas y procedimientos que aseguren una pronta y prolija atencin a aquellas amenazas y vulnerabilidades que afecten la seguridad de la informacin. En la actualidad, existen modelos, estndares y normativas que ayudan a las organizaciones con las directrices a seguir para una buena prctica de gestin de la seguridad de la informacin y el anlisis de los riesgos que incurren en este mbito; entre ellos, se encuentra la norma ISO/IEC 27001, ITIL y COBIT.

 

3 Normativas Internacionales

 

3.1 ISO/IEC 27001

ISO 27001 como es comnmente conocido, es una normativa internacional emitida por la Organizacin Internacionalizacin de normalizacin, con el propsito de describir los lineamientos que toda organizacin debiera efectuar para poder implementar un sistema de gestin de seguridad de la informacin.

 

El sistema de gestin de seguridad de la informacin (SGSI) es un modelo estratgico diseado para toda organizacin que requiere establecer, crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la informacin [5]. Hay que recalcar que esta normativa, le permitir a toda organizacin que cumpla con sus lineamientos, obtener la certificacin internacional. Este lineamiento, describe una serie de requerimientos que de manera general se presenta en la tabla 1.

 

Tabla 1 Etapas para implementar el SGSI

 

Fuente: Elaboracin propia a partir de la ISO/IEC 27001 2005 y 2013

 

La ltima versin de ISO/IEC 27001, es la 2013, la cual ha incluido cambios desde su versin 2005 referente a su estructura de 8 a 10 requisitos o clusulas, tambin incorpora conceptos de la normativa ISO 31000 de Gestin de Riesgo; otro elemento, es que se eliminan los anexos B y C por ende ya no se hace explcito el uso del modelo PDCA (Plan-Do-Check-Act); y su anexo A, es modificado variando sus dominios, objetivos de control y controles.

 

3.2 ITIL

 

Sus siglas provienen de biblioteca de infraestructura de tecnologas de informacin (ITIL), mismo que naci por la necesidad de incorporar en las organizaciones servicios de TI con altos estndares de calidad que soporten el cumplimiento de dichos objetivos [6].

ITIL se ha convertido en uno de los estndares con mejores prcticas de Gestin de Servicios de TI integradas bajo el enfoque de procesos. Entre los beneficios ms significativos est la mejora en la satisfaccin del cliente ya que los proveedores de TI saben y entregan lo que se espera de ellos, mayor flexibilidad para el negocio a travs de un entendimiento mejorado del soporte de TI, flexibilidad y adaptabilidad mejoradas en los servicios de TI que soportan los procesos del negocio, beneficios de negocio ocasionados por sistemas mejorados en trminos de la seguridad, precisin, velocidad y disponibilidad segn los niveles de servicio acordados [7]. Cabe indicar adems que esta normativa tambin permite a las organizaciones obtener la certificacin internacional.

El modelo de ITIL consiste en la esttrategia, el diseo, la transicin, la operacin y la mejora continua del servicio de TI, tal como se muestra en el grafico 1. En la actualidad, la ltima versin de ITIL es la 3.0.

 

Figura 1 Ciclo de vida ITIL

 

Fuente: http://www.bitcompany.biz/que-es-itil-cursos/

 

3.3 COBIT

El modelo COBIT (Control Objectives for In-formation and related Technology) es el marco aceptado internacionalmente de buenas prcticas para el control de la informacin TI y los riesgos que conllevan. COBIT se usa para implementar el gobierno de TI y mejorar los controles de TI. De igual manera, contiene objetivos de control, directrices de aseguramiento, mediciones de desempeo y resultados, factores crticos de xito y modelos de madurez [8].

La implementacin de COBIT se hace a travs de un sistema de control interno o tambin llamado marco de trabajo en el que debe vincularse con los requerimientos del negocio, donde adems es necesario identificar los recursos de TI, y por supuesto definir los objetivos de control. Actualmente la versin de Cobit que est vigente es la 5. Sus principios que tienen una visin holstica buscan satisfacer las necesidades de los interesados y que el marco de trabajo cubra a toda a la organizacin, en la figura 2 se puede apreciar sus principios.

 

Figura 2 Principios de Cobit

Fuente: Cobit 5

4 Preocupacin de los Empresarios

Los empresarios han ido notando que, con la adquisicin de mayor tecnologa de informacin, tambin ha ido aumentando las vulnerabilidades y amenazas en sus organizaciones. Cada da, se conoce por la prensa de un nuevo ataque a empresa.

Las estadsticas refieren [9] que los daos causados por los delitos cibernticos lleguen a 6 billones de dlares en el mundo en 2021, siendo su afectacin la destruccin de datos, dinero robado, prdida de productividad, fraude, eliminacin de datos, sistemas hackeados y dao reputacional.

La empresa internacional Kapersky manifest que en Latinoamrica se presentan 12 ataques por segundo, provocado por software malicioso; siendo Brasil el pas con el porcentaje ms alto [10], cifras realmente alarmantes.

Panda Security, en su sitio web menciona que el 91% de las pymes espaolas sufren diariamente ataques informticos y que sus orgenes provienen de web poco seguras, descargas de aplicaciones de internet y de virus recibidos por correo electrnico [11].

Estas recientes estadsticas demuestran que las empresas tienen una evidente exposicin al riesgo, porque no han logrado detectar sus vulnerabilidades y amenazas, las mismas que a corto, mediano o largo plazo pudieren comprometer el activo ms importante que es la informacin. Pero qu origina todo esto?

Existen diferentes orgenes de ataques que se dan a las empresas, pudiendo ser externas o internas; lo interesante es que la mayora de estos ataques provienen de colaboradores o empleados de la organizacin. Las estadsticas reflejan que los ataques en Latinoamrica se dan en un 38% proveniente por exempleados [12].

En definitiva, es claro que las empresas que an no han logrado implementar un sistema de gestin o control interno para la seguridad de informacin, difcilmente podrn lograr prevenir los ataques, y peor an tener una respuesta inmediata frente

 

a esta situacin, porque no han sido capaces de desarrollar polticas y procedimientos preventivos y correctivos ante los incidentes de seguridad.

Mtodo y Resultados.

5 Metodologa para implementar la seguridad de la informacin

La autora, presenta la siguiente metodologa de trabajo para que sirva como gua para la implementacin de un sistema o control interno para la seguridad de la informacin en cualquier tipo de empresa, sea pblica, privada, comercial, industrial, etc. En la figura 3 se observa los pasos a seguir:

 

Figura 3 Metodologa para implementar la seguridad de la informacin

Fuente: Elaboracin propia

 

1. Evaluar la situacin actual de TI.- En la actualidad, es raro encontrar una empresa u organizacin que no cuente con su departamento de tecnologa de informacin o tambin llamado rea de sistemas. Las empresas por pequeas que estas sean cuentan con uno o varios colaboradores que se hacen cargo de dar soporte, mantenimiento preventivo y correctivo, programacin y administracin de base de datos. Estas que he mencionado, corresponden a gestiones primarias y relevantes en toda organizacin.

En ese sentido, lo primero que debe efectuar el Empresario, es solicitar un inventario existente de software, hardware, comunicaciones, personal, manuales, con el fin de determinar y conocer en primera instancia la situacin real de TI.

2. Determinar la normativa. - Segn la necesidad de la empresa, sea en mejorar su nivel de servicios, calidad, mayor control de los riesgos o implementar todo un sistema de gestin, deber escoger la normativa. Es necesario conversar previamente con el personal de TI, mantener reuniones de trabajo para escoger cul de las normativas sean ISO 27001, Cobit o ITIL sea ms til para los propsitos y objetivos del negocio. Cualquiera que seleccione, tiene el componente de seguridad y gestin de riesgos, que es vital administrar y controlar en la actualidad.

 

3. Seleccionar al experto. - Probablemente, el personal de TI no ha tenido experiencia en temas relacionados con la implementacin de todo un sistema de gestin de seguridad de la informacin; en esos casos, es necesario recurrir a un experto. En la actualidad, existen consultoras de prestigio que dominan este tema, evale y cotice, seleccionando al final la que mejor se ajuste en presupuesto y servicio.

 

Otro factor, que tambin debe evaluar el Empresario, es convertir a su personal de TI en experto, con cursos y capacitacin continua en temas relacionados a la seguridad de informacin. En el mercado, existen preparaciones con certificaciones incluidas donde logran especializar al personal de TI en seguridad de la informacin. Es una opcin viable y ms econmica que la contratacin de una consultora.

4. Aplicar la normativa. - El proceso ms largo y duro, es arrancar con la implementacin de la normativa, todo en pos de lograr la disponibilidad, confidencialidad e integridad de la informacin. Durante esta etapa, la organizacin deber efectuar cambios en sus polticas y procedimientos, adquirir nuevas herramientas para mejorar su seguridad, deber adems identificar, analizar y evaluar sus riesgos, ser necesario efectuar peridicamente auditoras internas al sistema de seguridad de la informacin, y ser necesario crear una unidad de Seguridad de la informacin, la cual deber ser independiente del rea de Sistemas, pues as lo recomiendan las buenas prcticas.

5. Obtener la certificacin. - Una vez alcanzado todos los objetivos requeridos en el sistema de gestin, el experto deber notificar a la organizacin que sta se encuentra lista para obtener la certificacin. En esta fase, se deber contratar a una empresa certificadora, que no es la misma consultora experta que colabor con la aplicacin de la normativa. El proceso para obtener la certificacin consistir en una auditora, el tiempo de duracin depender del tamao de la empresa.

 

Conclusiones

 

Para el desarrollo de este trabajo de investigacin, se identificaron algunas definiciones para la seguridad de informacin, amenazas, vulnerabilidades y riesgos. Tambin se abord las normativas internacionales ms reconocidas en el mbito de la seguridad de la informacin como son las ISO/IEC 27001, ITIL y Cobit.

En cuanto a las preocupaciones de los empresarios, a travs de cifras estadsticas se hicieron resaltar los ataques que actualmente se estn dando a las empresas, sus orgenes y la importancia del por qu es necesario implementar un sistema de gestin o control interno para la seguridad de la informacin.

Se explic una metodologa propuesta por la Autora de 5 pasos, con el fin de que sirva como mecanismo para iniciar la gestin y el control del activo ms importante que es la informacin.

Se recomienda a las empresas que aprovechen los avances en el tema de la seguridad de la informacin, ya que la misma se encuentra normada como buena prctica; por lo que, si an no ha realizado acciones en pos de disminuir las amenazas y vulnerabilidades, entonces ya es el momento de hacerlo.

Este siglo XXI, ha trado consigo la creacin de delincuentes denominados cibercriminales, quienes dedican su tiempo para atacar a empresas vulnerables, y aprovecharse de la informacin sustrada de manera ilegal, para hacer mal uso de ella.

Considere, que gran parte de los ataques a las empresas provienen de exempleados; en virtud de ello, es muy importante fortalecer los procedimientos de salida del personal y la eliminacin de los accesos fsicos y lgicos. En muchas ocasiones, esto queda a un lado, o simplemente por no existir una poltica institucional, el personal no sabe cmo gestionarlo. Es ah, donde el contar con un sistema de control o sistema de gestin de seguridad de la informacin, se hace imprescindible.

El implementar un sistema de seguridad de la informacin es vital para la supervivencia de la empresa del siglo XXI; y, por tanto, debe ser considerado en todo plan estratgico organizacional; as como tambin, es importante contar con una unidad especializada en la seguridad de la informacin al interior del negocio.

Referencias bibliogrficas

[1] A. Angarita, C. Tabares y J. Ros, Definicin de un modelo de medicin de anlisis de riesgos de la seguridad de la informacin aplicando lgica difusa y sistemas basados en el conocimiento, Entre Ciencia e Ingeniera, 2015.

[2] L. Gmez y A. Andrs, Gua de aplicacin de la Norma UNE-ISO/IEC 27001 sobre seguridad en sistemas de informacin para pymes., AENOR, 2012.

[3] E. Domnguez, N. Paladines y C. Flores, tica y seguridad informtica en el sector de la salud pblica en el siglo XXI, Revista cientfica Dominio de las ciencias, 2016.

[4] Gestin de los servicios de tecnologa de informacin: Modelo de aporte de valor basado en ITIL e ISO/IEC 20000, El profesional de la informacin, 2013.

[5] ISO/IEC, Estndar Internacional ISO/IEC 27001, 2005 y 2013.

[6] J. Palacios, J. Rodrguez y C. Garca, Modelo de gestin de servicio ITIL para E-learning, Bogot: Revista Educacin en Ingeniera, 2017.

[7] Y. Medina y D. Rico, Modelo de gestin de servicios para la universidad de Pamplona: ITIL, Scientia et Technica, 2008.

[8] V. Montao, La gestin de la seguridad de la informacin segn Cobti, ITIL e ISO 27000, Revista Pensamiento Americano, 2011.

[9] IT now, Revista IT Now, [En lnea]. Available: https://revistaitnow.com/las15-principales-estadisticas-2017/. [ltimo acceso: 21 11 2017].

[10] BBC, BBC mundo, [En lnea]. Available: http://www.bbc.com/mundo/noticias-37286420. [ltimo acceso: 21 11 2017].

[11]Panda, Panda Security, [En lnea]. Available: https://www.pandasecurity.com/spain/mediacenter/notas-de-prensa/pymesataques-informaticos/. [ltimo acceso: 21 11 2017].

[12] welive security, welive security, [En lnea]. Available: https://www.welivesecurity.com/la-es/2014/10/06/incidentes-de-seguridadcrecen-2014/. [ltimo acceso: 21 11 2017].

 



[1] Universidad Tcnica Particular de Loja

Enlaces refback

  • No hay ningún enlace refback.


SÍGUENOS:


Dirección: Urdesa Central, Guayacanes 520 y la 5ta. Guayaquil - Ecuador | PBX ADMISIONES: (593) 4 6052450 PBX: (593) 4 6020400

Copyright © 2017 Universidad Tecnológica Empresarial de Guayaquil. Todos los Derechos Reservados.