La seguridad y la protección de datos, hoy en día, son temas que dan mucho de qué hablar. En el presente todo es digital, desde la compra de un bien o servicio, hasta la facilidad que los bancos ofrecen para realizar operaciones, todo está al alcance de un clic y con ello, todos tus datos, claves, direcciones y más.
Si ya llegaste hasta este punto ¡Bienvenido! Tendrás en cuenta la importancia de la ciberseguridad, la protección de datos y todo lo que la ciberseguridad te puede garantizar.
¿Eres una empresa y/o ente gubernamental y te preocupan los datos que manejas? También te interesa este artículo donde Ignacio Íñigo Hernández, especialista en ciberseguridad, deja claro todo aquello que debes saber sobre cómo proteger tus datos y los de tus clientes.
La ciberseguridad y lo que necesitas saber…
En un entorno donde “todo lo que publiques puede ser usado en tu contra”, aparece la ciberseguridad, un aspecto que resulta útil cuando la privacidad en esta era es casi nula.
Es por eso que para comenzar, Ignacio explica que la confidencialidad, integridad y disponibilidad, son los aspectos básicos que garantizan la ciberseguridad. En este sentido, entendemos que existen diferentes niveles de seguridad, que van desde una contraseña segura hasta el factor biométrico. Además de ello, Ignacio menciona que: “Los sistemas de autenticación por lo general se clasifican en 3 categorías: los basados en algo conocido(password, pin, etc), los basados en algo que se posee (tarjeta de identidad, smart card, etc) y los basados en algo que se es (por lo general factores biométricos). Los sistemas más seguros hoy en día combinan al menos 2 de estas categorías. Estos sistemas se conocen como de autenticación multifactor”.
Ciberseguridad en el contexto empresarial y gubernamental…
En estos niveles, lo primero que se debe realizar es un análisis de impacto, que a su vez conlleva un análisis de riesgo para medir qué activos son cruciales para la organización y protegerlos de la manera más adecuada. Estos estudios previos ayudan a dirigir la inversión protegiendo lo más valioso dentro de una empresa.
Aquí, entra a colación el término Debido cuidado y debida diligencia (Due Care and Due Diligence) El primero se refiere al cuidado mínimo razonable para proteger los intereses de una organización. Mientras que “Debida Diligencia” es tomar las medidas necesarias para garantizar el debido cuidado. Un factor a tomar en cuenta, ya que los directivos deben probar que practicaron debido cuidado y debida diligencia para reducir su culpabilidad y limitar su responsabilidad.
Ahora bien, a la hora de diseñar un plan de seguridad para tu empresa, a partir del análisis de riesgo, se genera un reporte costo-beneficio que sirve para indicar si merece la pena implementar un determinado control o medida de seguridad.
¿Cómo se construye un plan de seguridad?
El primer paso para implementar un plan de seguridad es la definición de una política o políticas de seguridad, donde se define el alcance de la seguridad dentro de una organización, los activos que deben ser protegidos y qué nivel de protección es aceptable.
Luego, a partir de la política definida, se construyen otros tipos de documentos estándares, líneas base, guías y procedimientos que van a marcar la pauta para un plan estratégico, táctico y operacional.
Cabe mencionar que, dependiendo de la industria o sector a la que se dedique la empresa las políticas internas de una organización se pueden ver influenciadas por las regulaciones del país o región donde se encuentre.
¿Cómo se estructura una política de seguridad de datos?
Ignacio explica que, una política debe tener un propósito, e indica por qué hace falta para proteger la confidencialidad, integridad y disponibilidad de los datos. En segundo lugar, nos explica que una política debe también definir el alcance, es decir todo aquello que debe ser protegido (Sistemas, datos, personas, inmuebles). En tercer lugar, indica que en una política debe hablarse de responsabilidad. En este punto se define el trabajo de cada quien, se asignan roles, etc. Por último, el cumplimiento, que abarca el cómo acatar la política y las sanciones asociadas en caso de violación de las mismas, debe ser un apartado indispensable en toda política.
“En demasiadas ocasiones, políticas, estándares, líneas base, guías y procedimientos se crean como acción posterior recomendada por un consultor o auditor de seguridad. Si estos documentos no se utilizan y actualizan regularmente no ayudarán a proteger a la organización y por tanto perderán su utilidad«. Explica Ignacio, que al mismo tiempo menciona que se deben revisar y actualizar las políticas de seguridad al menos una vez al año, o incluso con mayor frecuencia especialmente si hay algún cambio importante dentro de la organización.
Por último, Ignacio deja claro que: “Se podría decir que toda política debería tener dientes, o más bien colmillos, refiriéndose a que de alguna manera debe avisar de las consecuencias de incumplirla, para ser efectiva.” Y es que, al final mientras todo esté bien documentado y cada una de las partes de una empresa esté al tanto de sus funciones, el rango de error será cada vez menor.
Una política viene acompañada de programas de concienciación y educación, ya que una política, más que un documento será la vía para evitar la fuga de datos y con ello, pérdida de capital; al mismo tiempo, una empresa con una buena capacitación de personal, hará que disminuyan los riesgos.
Esto, no solo debe ser tomado en cuenta a nivel empresarial, y es que, a pesar de las regulaciones y leyes de seguridad cibernética que se implementan en diferentes países como Estados Unidos, Panamá o La Unión Europea, la privacidad de los datos siguen siendo vulnerables, puesto que, aún se deben reforzar las prácticas de seguridad.
Si llegaste hasta este punto, te darás cuenta de la importancia de la protección de datos en el presente, sabemos que los riesgos siempre existirán, pero si puedes ayudar a minimizarlos, estarás aún más seguro.