1

Minimizando riesgos en la Seguridad de la información

Safe bankMucho se ha dicho: actualmente la información es la base de la gestión de cualquier empresa. Por ello, el resguardo de los datos corporativos puede resultar determinante al momento de tomar correctas y oportunas decisiones de negocio. Es claro que éstas deben estar sustentadas en un almacenamiento seguro.

La tendencia, incrementada mucho más con la irrupción de Internet y la tecnología móvil, nos puede llevar a considerar como válido que todo ítem relacionado a este aspecto de la gestión es justificado, es decir, la inversión deberá ser siempre aprobada y nunca cuestionada. Sin embargo, ¿por qué si existe tanta seguridad nunca es suficiente? ¿Sólo debemos invertir en seguridad de la información a nivel de software y hardware? ¿No existe una forma de disminuir los costos en esta área? ¿Qué rol cumplen los equipos de recursos humanos? Todas son interrogantes que buscan aclarar la forma de abordar una problemática permanente y siempre creciente.

La tecnología está disponible hoy para todos, ya que si repasamos la historia reciente hace apenas diez años nos maravillábamos con lo que podría significar el uso masivo de Internet. La realidad, sin embargo, es que dejó de ser un privilegio y su uso forma parte del habitual desempeño en actividades cotidianas, hecho potenciado con el mayor y fácil acceso que entregan las tecnologías móviles. La ciudadanía maneja en su vocabulario conceptos que antes fueron únicamente parte del lenguaje corporativo. Virus, controladores, red inalámbrica o conexión remota son parte de un común colectivo, dejando de ser conocimientos restrictivos únicamente de los expertos, aunque ellos puedan saber algo más. En ese contexto, donde la información está siempre disponible, desde distintos lugares y con usuarios cada vez más entendidos, es necesario comprender y asumir que la seguridad de la información no sólo pasa por imponer grandes barreras o por aplicar intrincados protocolos de comunicación al interior de los sistemas en las empresas, sino que entendiendo que el recurso humano disponible es parte de un fenómeno y de un proceso complejo.

La primera indicación, entonces, es que las políticas de seguridad empresarial deben incluir al recurso humano existente. Gerentes, jefes de áreas, así como técnicos y profesionales de la corporación deben integrarse y ser parte de esta realidad. Ellos no son responsables de una definición de seguridad de la información, pero sí de su cumplimiento, porque han sido debida y primeramente capacitados para entender que eso es así. Sólo de esa forma es posible que la seguridad de la información se asuma como parte del proceso de negocios y de cuyo manejo depende en gran parte el cómo se trabaja para obtener resultados exitosos. Ya no basta con tener los más robustos sistemas de seguridad de la información en funcionamiento y, por ende, crear una verdadera carrera armamentista, porque siempre alguien tendrá una mejor arma.

Un estudio realizado por IDC a cerca de cuatro mil profesionales de seguridad en más de 100 países, arrojó que las empresas necesitan dedicar más tiempo a políticas, procesos y personal antes que a la tecnología. Eso, si quieren asegurar con éxito las infraestructuras de TI, considerando, además, que la tecnología es sólo un facilitador y no la solución para implementar una estrategia de seguridad contundente. Según Allan Carey, experto que lideró este análisis, “la gestión de la seguridad siempre requerirá el equilibrio justo entre personal, políticas, procesos y tecnología para mitigar los riesgos asociados con el entorno de negocios actual, basado en la conexión digital”.

En esa misma perspectiva, otras estimaciones apuntan al año 2014 como el tiempo en el que la social networking destronará al correo electrónico como principal vehículo de comunicación interpersonal. Existe, por lo mismo, una mayor disponibilidad de servicios junto con los cambios de hábitos de conexión. Se espera que los usuarios corporativos hagan de las redes sociales el núcleo de sus comunicaciones profesionales. De ahí en el futuro, se cree, las compañías construirán sus propias redes sociales internas y también permitirán el uso de redes sociales personales para los negocios. De hecho, Matt Cain, vicepresidente de investigación de Gartner, indicó que “la rígida distinción entre email y redes sociales se difuminará. El email adquirirá muchos atributos sociales como la intermediación de contactos, mientras que las redes sociales desarrollarán capacidades más completas de mensajería. El email ha penetrado casi por completo en el espacio corporativo. Ahora esperamos ver aumentar el ritmo de crecimiento de los servicios de networking en la nube”.

Con todo, es claro y clave comprender y entender que la seguridad debe ser una política, que integra y es participativa. Porque incluyendo a los trabajadores de la organización no eliminamos los riesgos, pero sí aumentamos las fortalezas, que en muchos casos puede resultar mucho más efectivo.

Por Guillermo Contreras, gerente de proyectos Entersoft