Protección de uno de los activos más importantes de la organización: la información

La información, su soporte y todos los puntos de la organización relacionados a su gestión, también deben tener una protección adecuada.

Q.F. Viviana Bonilla
Especialista en Sistemas de Gestión de la Calidad ISO 9000.
Más de 15 años de experiencia en el área de control de calidad de medicamentos en el sector Química de la CCCM, laboratorio oficial de control de Medicamentos de Uruguay, precalificado por la Organización Mundial de la Salud.
Asesora en gestión de la calidad, asuntos regulatorios y auditora en empresas importadoras y distribuidoras de dispositivos terapéuticos y equipos médicos.

En muchas organizaciones la información es uno de los activos más importantes. Así como se protegen otros activos como materias primas, productos, equipamiento, etc., la información, el soporte de la misma y todos los puntos de la organización relacionados a su gestión, también deben tener una protección adecuada.
Algunos ejemplos de activos de información relevantes podrían ser los siguientes:
Los datos creados o utilizados en medio digital, en papel o en otros medios, incluyendo los datos analíticos que son base para la toma de decisiones y que debemos conservar inalterados para cumplir con requisitos reglamentarios.
El hardware, el software y los servicios utilizados para el procesamiento, transporte, almacenamiento y control de información.
Personas con conocimientos importantes y/o experiencia.
Se desarrollan algunas ideas aplicables a la protección de información basándose en la familia de normas ISO/IEC 27000, tecnologías de la información, técnicas de seguridad. La serie contiene prácticas recomendadas para desarrollar, implementar y mantener un Sistema de Gestión de la Seguridad de la Información (SGSI).
De manera resumida, un SGSI implica establecer una política de seguridad de la información, contar con el compromiso de la dirección y con la asignación de recursos para identificar y clasificar los activos de información, identificar amenazas, vulnerabilidades y realizar un análisis de riesgo evaluando probabilidad e impacto, comparando cada riesgo con el riesgo aceptable previamente establecido e implantar controles adecuados para disminuirlos y mantenerlos bajo control.
Los aspectos de la información que se tratan de proteger y que se utilizan como criterios de clasificación son la confidencialidad, la disponibilidady la integridad.
Se desea que la información llegue solo a los destinatarios correctos, en el momento correcto y se mantenga válida, auténtica, completa e inalterada, por todo el período de vida útil de la misma, desde su creación, archivo, respaldo hasta su disposición final.
Las amenazas pueden ser intencionales, accidentales e incluso medioambientales, y pueden afectar uno o varios aspectos de la información.
Los controles a establecer contra estas amenazas pueden estar dados en forma de políticas, procedimientos, prácticas y estructuras para prevenir, detectar o corregir un evento de seguridad de la información no deseado.
Las vulnerabilidades que se deben detectar corresponden a ausencia de controles o controles inadecuados.

Si bien muchos controles pueden parecer obvios o intuitivos, se recomienda establecerlos de manera clara y ordenada en procedimientos alineados con las políticas de seguridad de la organización y con responsables para su implantación y control.
Ingreso y desvinculación de personal

Teniendo en cuenta la importancia de la seguridad de la información, es aconsejable establecer lineamientos en los procedimientos de ingreso y desvinculación de personal, especialmente cuando se produce una desvinculación en malos términos o si la persona contaba con alto nivel de acceso a la información.
Los consejos para el ingreso y la desvinculación aplican también para cambios de cargos o sectores dentro de la organización, ya que puede haber permisos que revocar, accesos que denegar, además de dar de alta accesos y permisos a lo nuevo. El personal no debe contar con contraseñas, llaves, tarjetas, permisos y/o privilegios del cargo o sector anterior.
Tener en cuenta lo anterior para el personal de limpieza y mantenimiento, así como también para las visitas técnicas de los proveedores.
Toma de conciencia
Que el personal tome conciencia es uno de los puntos clave para mantener la seguridad de la información. El personal debería contar con formación y entrenamiento para conocer las políticas de seguridad, los activos a proteger y su grado de confidencialidad, las posibles amenazas y los controles existentes para esas amenazas. Conocer la razón por la cual están establecidos los controles genera mayor grado de aceptación por parte del personal.
El personal debe conocer leyes y regulaciones relacionadas si corresponde. Debe saber cómo almacenar, identificar y transportar información, cómo y a quién reportar incidentes de seguridad.
Hasta las acciones más simples y esperables, como no dejar información desatendida, cerrar sesión en los sistemas informáticos, no compartir contraseñas, uso adecuado de correos electrónicos y redes sociales y manejo de datos confidenciales, requiere formación y entrenamiento.
Al tomar conciencia de la responsabilidad sobre la seguridad de la información se reducen las acciones no autorizadas y aumentan los registros de los eventos de seguridad, tan necesarios para mejorar continuamente el sistema de protección y los controles.
Conocimiento del personal
En algunos casos el conocimiento y la experiencia adquirida les dan especial valor a determinadas personas dentro de la organización. El conocimiento es el activo a proteger para la organización, por lo que se deben establecer controles y acciones ante la amenaza de perder ese valor cuando la persona se retire. No solo es conocimiento, también se puede tratar de visión experta, intuición fundamentada, lecciones aprendidas, conocimiento del histórico de cierta temática, información crítica y secretos industriales.
Se pueden tomar algunas medidas para evitar perder el conocimiento cuando este personal difícil de reemplazar se retira o se desvincula de la organización:
Mejora continua
La gestión de la seguridad es cíclica, se debe evaluar y mejorar continuamente.
Los controles establecidos deben ser evaluados periódicamente en cuanto a su vigencia. Es una práctica muy útil evaluar los controles que se realizan actualmente y preguntarse si estarán obsoletos, por qué se hacen y de qué amenaza nos protegen. Pueden existir controles “de toda la vida” que se siguen haciendo por costumbre y que debido a cambios en los procesos o en la tecnología ya no son necesarios. Hay que tener en cuenta la obsolescencia de los controles para gastar los recursos adecuadamente.
Por otro lado, se debe estar atento a cambios en el entorno, por ejemplo a la incorporación de nueva tecnología, ya que pueden aparecer nuevas amenazas. Es recomendable estar atento a las divulgaciones de problemas de seguridad, nuevas modalidades de ataques de seguridad informática y robo de información o nuevos virus. Es de mucha utilidad el seguimiento de las amenazas y alertas del Centro Nacional de Respuesta a Incidentes de Seguridad Informática. (CERTuy), y otras, por ejemplo INCIBE de España o CISA de Estados Unidos.
Además, los controles conllevan un mantenimiento con un responsable asignado. Por ejemplo, actualización de sistemas operativos y antivirus, mantenimiento de las UPS, verificación de alarmas, mantenimiento de extintores, revisión de logs de administración y de los equipos analíticos, etc. La organización debe proveer los recursos necesarios para mantener los controles establecidos.
El cumplimiento de los controles establecidos debe evaluarse periódicamente, por ejemplo, en una auditoría.
Además, para poder evaluar el sistema se deben registrar los incidentes de seguridad. Una buena gestión de incidentes de seguridad de la información es muy útil para medir y mejorar, pero también para evaluar nuevas amenazas y vulnerabilidades.