Seguridad en América | Post

Para Tener la Cabeza en la Nube, Hay que Tener los Pies en la Tierra.

En realidad la Nube no existe; y pensamos que al pasar, compartir y almacenar nuestra información y datos en la Nube estamos en un nivel de protección (y conveniencia) en un algo que objetivamente no entendemos. La realidad es que al “guardar” nuestra información en la Nube, estamos transfiriendo nuestros datos a un lugar físico, un edificio lleno de servidores en muchos casos compartidos, en alguna parte del planeta. Sin quitarle el valor intrínseco y práctico que representa la Nube, antes de contratar los servicios, o crear una propia, debemos tener claros los objetivos y resultados que esperamos, junto con la seguridad que necesitamos.

Para hacer uso efectivo de la Nube, debemos confirmar nuestro concepto de seguridad y qué se necesita para lograrla, de ahí el tener los pies en la tierra. Los pasos a seguir son los siguientes: hacer un Análisis de Riesgo y Vulnerabilidad; basado en sus resultados crear un Plan de Administración de Consecuencias. Una parte esencial es la verificación de la seguridad de lo que queremos y necesitamos proteger en nuestra entidad, al igual que en la Nube. Tener y practicar una cultura de seguridad con políticas específicas de Protección de la Información y Seguridad Operacional, concluyendo con un Plan de Continuidad de Negocios/ Operaciones. 

El eje principal de la Seguridad de la Informaciones uno basado en un sistema propio (puede ser adaptado, pero nunca adoptado de las buenas prácticas de otros) de protección y clasificación de la información de la empresa que debe crear una cultura que logre reducir la mayoría de las filtraciones e infiltraciones, y al mismo tiempo generar confianza tanto interna como de nuestros clientes y proveedores.

SEGURIDAD CIBERNÉTICA EMPRESARIAL

Sobre este tema nos dice Marshall McLuhan, que“nuestra era de ansiedad es, en gran parte, el resultado de tratar de hacer las tareas de hoy con las herramientas de ayer”. Para reducir esta ansiedad y nivel de riesgo necesitamos en principio aplicar la Regla de Tres. Esta regla nos dice que debemos de tener un mínimo de tres copias de toda nuestra información, una en papel, otra en nuestro sistema (computadoras y servidores) y otra en otra parte (la Nube). Esto en principio nos da la seguridad de no ser víctimas de un evento catastrófico y perder toda nuestra información. Sin embargo, esta regla no resuelve la protección contra el acceso por parte de terceros sean parte de la empresa o fuerzas externas con interés de despojar o dañarla.

Para lograr la seguridad que necesitamos, un próximo paso es definir cómo logramos ‘data loss protection’ o “la protección contra pérdida de datos”. Es necesario identificar el nivel de sensibilidad de la información, los controles de seguridad de la infraestructura que soporta el flujo de información de nuestros procesos; tener una definición y clasificación de la información basada en su sensibilidad y las consecuencias si se pierde o compromete. Crear una práctica de seguridad operacional, que es el proceso sistemático de evitar que adversarios obtengan información, capacidad operacional, inteligencia, planes y su ejecución.

Es un esquema que establece una cultura de protección y control de la información que debe de ser parte de la cultura de todo el personal y la organización. No olvidar que todo elemento y servicio de seguridad existe solamente en forma física. Sin tener las bases fundamentales de nuestra seguridad, no debemos lanzar nuestra información sin poder contestarnos primero claramente dónde está mi información.

Siendo lo anterior crítico para el proceso interno de toda empresa, es de igual importancia tener presente que otras cosas pueden afectar nuestras decisiones de seguridad y nuestro lugar en la cadena de suministros. Primero, ¿sabemos si los componentes de Tecnología de la Información (TI) que vienen del extranjero cumplen con estándares de seguridad cibernética? Por ejemplo, en Estados Unidos, el Departamento de Defensa ha ordenado quitar todo equipo hecho en China (sistemas de videovigilancia, celulares, computadoras) porque estos equipos están programados para enviar copia de toda la información a los servicios de inteligencia chinos. 

La TI se ve como un gran éxito en el mercado global, pero su rápida difusión igualmente trae nuevos riesgos. Las economías mundiales cada día dependen más en la TI en casi todas sus actividades diarias. Sin embargo, vemos en los encabezados de noticias, esta infraestructura está muy lejos de ser perfecta. La rápida evolución de sistemas, por ejemplo —pasar del G4 al G5 incrementando exponencialmente la velocidad de transferencia de datos— expone a los usuarios a un nivel aún mas dramático de riesgos. La interdependencia de los sistemas e instituciones significa que una falla en la seguridad tenga consecuencias extremas. Por ello, es necesario tener políticas de ciberseguridad que nos permitan lograr un ciberespacio seguro que debe lograr proteger datos y no ser accedidos por cibercriminales que explotan a consumidores y empresas igualmente. El sector privado, en sociedad con los gobiernos deben lograr tanto prevención como apoyo en el cumplimento de la ley.

Los tratados de comercio internacional promueven el flujo de bienes y servicios atando a países con reglas que reducen las barreras comerciales. Estas políticas de ciberseguridad en la economía global deben hacer sentir a las empresas la confianza que sus operaciones internacionales y su propiedad intelectual estén seguras en relación a la conectividad que nace de las redes de comercio y datos globales. Un modelo importante es el nuevo Tratado de Libre Comercio de Estados Unidos-México-Canadá, cuyos esfuerzos deben ser enfocados a la integración de negocios y productividad de América del Norte, tal como definen las actividades lideradas por las Universidades Anáhuac (México), Arizona State University (Estados Unidos) y Calgary University (Canadá) al igual que la Cámara de Comercio México-Estados Unidos y el Bush Center, estudiando y recomendando políticas de ciberseguridad sin inhibir las cadenas de suministro y sus cruces fronterizos. Debe de existir un balance entre la seguridad y la eficiencia.

banner