Por Nallely del Rocío Mariscal Patiño, docente de las licenciaturas de Administración de Empresas y Contaduría Pública de Sistema Ejecutivo UNLA
Ya sea un trabajador independiente, un despacho profesional o en una grande, pequeña o mediana empresa (PYME), la administración de la seguridad de la información es primordial para asegurar el buen funcionamiento de la operación y prevenir catástrofes administrativas y financieras que pongan en riesgo la integridad de la organización.
La información constituye uno de los recursos principales de una organización, por lo tanto, se debe proteger mediante un conjunto de actividades, controles y políticas de seguridad que se deben implementar con base en recursos humanos, hardware y software, y así proteger la información y los activos de la Empresa.
La seguridad de la información es un conjunto de estrategias para administrar los procesos, las herramientas y las políticas necesarias que previenen, detectan, documentan y contrarrestan las amenazas a la información digital y no digital. Las responsabilidades de la seguridad de la información incluyen establecer un conjunto de procesos comerciales que protegerán los activos de información independientemente de cómo se formatee la información o si está en tránsito, se está procesando o está en reposo en el almacenamiento (Pérez, 2018).
La actual pandemia por COVID-19 ha abierto una ventana a los ciberataques en México, lo cual nos ha hecho más vulnerable en términos de Nación. Lógicamente, esto obliga a repensar la seguridad nacional y la estrategia de seguridad cibernética para combatir estas ilegalidades.
Según la entrevista de Contralínea al comisionado del Instituto Federal de Telecomunicaciones (IFT), en los primeros nueves meses del 2020 México ha sido el país más agredido digitalmente en Latinoamérica al recibir 1 millón 319 mil 260 ataques de ransomware, es decir, secuestro de datos para pedir rescate, lo cual ha afectado a más de 297 mil empresas.
El crecimiento de reportes de delitos informáticos en el sector financiero tiene una tendencia de crecimiento entre un 15 y 20% según el mando de la Guardia Nacional que lucha contra la delincuencia online. Además, señalan que el Estado Mexicano es uno de los países con más ataques del mundo: un sorprendente 82% de las empresas mexicanas han sido víctima de un ataque cibernético en 2020 (DocuSign, 2021).
Las soluciones de la seguridad de la información se basan en los objetivos centrales: mantener la confidencialidad, la integridad y la disponibilidad de los sistemas de tecnologías de información (TI) y los datos comerciales. Estos objetivos aseguran que la información confidencial únicamente se divulgue a las partes autorizadas (confidencialidad), evite la modificación no autorizada de los datos (integridad) y garantice que las partes autorizadas puedan acceder a los datos cuando lo solicite (disponibilidad).
La mayoría de las grandes empresas emplean un grupo de seguridad dedicado para implementar y mantener el programa de la seguridad de la información de la organización. Este grupo generalmente es responsable de llevar a cabo la gestión de riesgos, un proceso mediante el cual se evalúan continuamente las vulnerabilidades y amenazas a los activos de información, y se deciden y aplican los controles de protección apropiados.
Es por ello que en las licenciaturas de Administración de Empresas y Contaduría Pública del Sistema Ejecutivo UNLA cuentan en su plan de estudios con materias relacionadas a este tema tan importante, que te permitan tomar las precauciones necesarias para salvaguardar la información de tu empresa o negocio.
Ahora, ¿qué activos se deben proteger? ¿De qué amenazas debemos proteger? y ¿de qué manera lo protegeremos?
Las amenazas a la información sensible y privada se presentan en muchas formas diferentes, como el malware y los ataques de phishing, robo de identidad y ransomware.
Para estar preparados para una violación de seguridad, los grupos de seguridad deben tener un plan de respuesta a incidentes. Esto debería permitirles contener y limitar el daño, eliminar la causa y aplicar controles de defensa actualizados.
Los procesos y las políticas de seguridad de la información suelen incluir medidas de seguridad física y digital para proteger los datos del acceso, el uso, la reproducción o la destrucción no autorizados. Estas medidas pueden incluir mantraps, administración de claves de encriptación, sistemas de detección de intrusos de red, políticas de contraseñas y cumplimiento de normas. Se puede realizar una auditoría de seguridad para evaluar la capacidad de la organización para mantener sistemas seguros contra un conjunto de criterios establecidos.
La seguridad debe permitir proteger las siguientes características de la información:
- Confidencialidad: que la información sea conocida únicamente por personas autorizadas.
- Integridad: que su contenido no sea alterado a menos que sea modificado por personal autorizado.
- Disponibilidad: la capacidad de estar siempre disponible para ser procesado por personas autorizadas.
- Control: que sólo las personas autorizadas pueden decidir cuándo y cómo acceder a la información.
- Autenticidad: la información es válida y utilizable y también que la fuente de la información es válida.
- Protección al replay: la transacción sólo se realiza una vez, a menos que se especifique lo contrario.
- No repudio: para evitar que una entidad que recibió o envió información alegue que no lo hizo.
Entre las amenazas más frecuentes se encuentran:
- Catástrofes naturales
- Amenazas físicas
- Fraude Informático
- Intrusiones
- Errores humanos
- Software ilegal
- Código malicioso
Por lo anterior, evitar la fuga o pérdida de información es imprescindible para las empresas, se proponen algunas recomendaciones:
- Mejorar la ciberseguridad
- Limitar el acceso a la información
- Realizar back ups (respaldos)
- Actualizar el sistema de información
Para lograr una correcta administración de la seguridad de la información, no sólo se debe tener un sistema en constante desarrollo, sino también una capacitación constante de nuestro personal para que exista una mayor compatibilidad hombre-máquina.
Un sistema de información adecuado brinda una importante satisfacción en los empleados que lo operan, en virtud de su facilidad de uso y su sencillo acceso, lo cual da como resultado el cumplimiento de los objetivos propuestos.
Irónicamente, en la "era de la información" la importancia y valor de las ideas, la identidad, la privacidad, la libertad y el conocimiento se ha visto minimizado para poder recolectar información de todo. Por ello, debido a la complejidad de la seguridad de la información, una estrategia integral de seguridad de la información debe proteger instalaciones, tecnología, procesos, educación, normativas, programas y personas.
Si bien ninguna estrategia garantiza una completa seguridad de la información, es muy importante tomar decisiones con plena identificación del activo más preciado “los datos y la información”.
Referencias:
DocuSign, C. d. (29 de Abril de 2021). Administración de la seguridad de la información. Obtenido de https://www.docusign.mx/blog/ciberataques-en-mexico
Pérez, J. L. (20 de Noviembre de 2018). ¿Qué es la seguridad de la información? Obtenido de https://www.comunycarse.com/es/que-es-la-seguridad-de-la-informacion/
Velasco, W. V. (2021). Políticas y seguridad de la Información. Revista de Difusión Científica y Cultural la Salle.