Mauricio Arroyo Herrera | Escuela de Computación | TEC

Ante las amenazas cada vez más constantes en la era digital, la seguridad de la información de las corporaciones, gobiernos o empresas se han convertido en tema obligado. La custodia de la información propia, la de sus clientes o ciudadanos debe ser “garantizada”.

Ello ha impulsado que los gobiernos cada vez más planeen o aprueben regulaciones con las que las empresas deben cumplir; además los consumidores de servicios (digitales o no) están preocupándose cada vez más por proteger o eliminar cuidadosamente su información personal de los sistemas organizacionales.

Para este particular se empieza a dar una población de personas que trabajan sobre derechos digitales los cuales necesariamente obligarán a todos a gestionar la seguridad de la información. Caso contrario se perderá la confianza del cliente o ciudadano al percibir a las entidades como no confiables en el mundo digital donde la tecnología trae consigo amenazas.

¿Cómo podemos crear más oportunidad al mismo tiempo que protegemos la privacidad en un mundo interconectado? En el presente artículo se presenta un esbozo general de los principales procesos organizacionales que deben ser establecidos en una institución o empresa para gestionar la seguridad de la información.

En este sentido la industria ha venido considerando el ciber riesgo en sus planes corporativos. Una primera muestra de ello fue lo definido por la National Association of Corporate Directors [1] quien en el 2015 hizo un llamado a la acción de sus miembros por medio de cinco pasos. Primero consideró que el ciber riesgo es un riesgo empresarial (no es técnico solamente). Segundo, impulsó que es importante entender las implicaciones legales de los ciber riesgos. Tercero, que se deben dar discusiones sobre los riesgos de seguridad informática en las reuniones de las juntas directivas. Cuarto, se indica que es requerida la planificación de la ciberseguridad. Y, por último, que debe haber un plan de desarrollo de la ciberseguridad a nivel de la junta directiva de cómo se direcciona los ciber riesgos: cuándo se mitigan, aceptan o transfieren.

Es por ello por lo que todo ejecutivo o autoridad de una organización debe conocer los procesos generalmente aceptados para la gestión de la seguridad de la información. Una de las principales orientaciones hoy en día es el NICE (National Initiative for Cybersecurity Education) [2] del NIST (National Institute of Standard and Technology) del Departamento de Comercio de los Estados Unidos de Norteamérica. De este marco de trabajo se puede derivar las funciones organizacionales a partir de los roles de trabajo que se desarrollan en el área de la ciberseguridad.

Las organizaciones deben concretar un proceso de Supervisión y Gobierno de la Ciberseguridad. Ello significa la alineación, planeamiento y organización de las acciones requeridas. Se proporciona el liderazgo, la gestión, la dirección del desarrollo y defensa para que la organización pueda llevar a cabo eficazmente el trabajo de seguridad cibernética. Para tal fin, en este proceso se debe considerar los aspectos legales o regulatorios con el fin de lograr la identificación de políticas o acciones en la organización. También se preocupa por la concientización que debe darse en el tema a nivel organizacional.

Teniendo claro la estrategia y planes para la ciberseguridad, junto con la concientización de la importancia de la seguridad de la información; se dirige el proceso de Aprovisionamiento Seguro de los Servicios de Información. Implica las acciones operativas para el diseño y desarrollo de software seguro, y el diseño de la infraestructura de sistemas que soporten los servicios. También se desarrollan pruebas de concepto que permitan constantemente determinar las mejoras acciones técnicas operativas que hacen evolucionar los requerimientos de operación seguros en los nuevos servicios de información.

El tercer proceso es el de Operación y Mantenimiento. El objetivo es conducir en forma segura la gestión de los datos que son administrados en las bases de datos, el desarrollo de bases de conocimiento que puedan ser consultadas para asegurar que el conocimiento producido sea capitalizable en los diferentes frentes de mantenimiento de la seguridad. Es también parte de este proceso el mantenimiento de las redes de forma segura.

Con los procesos anteriores la organización trabaja desde lo interno buscando las mejores acciones para que la infraestructura, los servicios desarrollados y la operación sean seguros. Sin embargo, esto es solo preventivo pues se verá afecto a ataques y amenazas. Por ello se requiere un proceso de Protección y Defensa. Acá se identifica, analiza y mitiga las amenazas a los sistemas y / o redes de tecnología de la información interna. Para tal fin se hace análisis para determinar cómo llevar a cabo acciones de defensa y de respuesta a incidentes. Al mismo tiempo se debe evaluar en forma contante las vulnerabilidades que la organización puede desarrollar y generar las recomendaciones necesarias para ser consideradas en los nuevos aprovisionamientos y en la operación de los servicios. Además, podría impulsar el establecimiento de nuevas políticas de seguridad.

Por otro lado, es necesario establecer una función de Ciber inteligencia. Las amenazas pueden en algunos casos materializarse y por lo tanto deben ser investigadas por medio de análisis forenses que determinen los modos de operación de los perpetradores. Con ello se puede determinar acciones de defensa que no se habían identificado.

A partir de lo expuesto se puede distinguir que las actividades o acciones relativas a garantizar la ciberseguridad de las organizaciones, deben ser definidas en procesos claros que consideren todo el horizonte: no solo proveer servicios seguros y gobernados, sino también las acciones de defensa y de inteligencia que impulsen acciones proactivas hacia el aseguramiento de la información.

Trabajos citados

[1] M. Rosenquist, Navigatin the digital age: the definitive cybersecurity guide for directors and officers, Chicago, 2015.
[2] National Institute of Standards and Technology, «National Initiative for Cybersecurity Education (NICE),» 2017. [En línea]. Available: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf.