Lo cierto es que los requisitos de negocio, el mercado, las regulaciones y las expectativas de los grupos de interés, hacen necesario que las empresas establezcan y evolucionen continuamente políticas, procedimientos y mecanismos tecnológicos que permitan proteger los activos de información en un marco de transparencia en la gestión.
Para ello, las organizaciones emplean técnicas ya clásicas, que empiezan por identificar adecuadamente sus requisitos de seguridad, continúan por definir la función de seguridad en todas sus dimensiones, y culminan estableciendo las estrategias para su implantación y gestión. Evidentemente, las probabilidades de éxito aumentan mucho, si para lo anterior nos basamos en una buena información de partida, proporcionada por el análisis de riesgos. En él, se deben considerar todos los factores endógenos y exógenos que puedan influir en el escenario de riesgos sobre el que actúe el sistema de gestión de la seguridad de la información como elemento de mejora continua.
Quizá buena parte de las causas que originan este escenario dinámico estén, por una parte, en la legislación y la normativa, que traspasan las fronteras nacionales; y por otra, en la propia experiencia que las organizaciones hemos ido acumulando acuciadas por la necesidad de ir dando repuesta a los cambios que se producen en el entorno, para adaptarlos a las necesidades de nuestro propio modelo de negocio.
Lo cierto, es que hoy ya nadie duda de que la regulación existente considere la confianza en los sistemas de información como uno de los pilares básicos sobre los que se debe sustentar el control de las empresas.

El gobierno corporativo de la seguridad de la información
En los últimos años se han incrementado sensiblemente las necesidades de las compañías en lo que respecta al gobierno corporativo, con el objetivo de dar respuesta al reto de acompañar el crecimiento demandado por el mercado, con una gestión eficaz del riesgo, es decir, estableciendo un buen gobierno corporativo de la seguridad.
Por ello, ahora más que nunca, se requiere identificar los riesgos e implementar metodologías para su gestión. Esto afecta a todas las áreas de la organización, y debe ahondar en la creación de “una cultura de buen uso de la tecnología”, de modo que no coarte la creatividad ni la iniciativa de los empleados, sin menoscabo de implementar medidas para su efectivo control, siempre partiendo de las necesidades de uso y de la más absoluta confianza en el buen hacer de la inmensa mayoría de los empleados.
Este gobierno corporativo verá incrementada su calidad en la medida en que se apoye en las TICs, en la seguridad de la información, y, por tanto, en los mecanismos de control de que ambas le dotan. Afortunadamente, los directivos van comprendiendo que esta calidad influirá decisivamente en la propia valoración de las empresas.
La interdependencia que se genera plantea como objetivo alinear la gestión de la seguridad con los objetivos de negocio. O sea, ser capaces de, utilizando la tecnología, crear valor para el negocio, mitigando riesgos, en un ambiente de confianza en la organización y en los grupos de interés. Por tanto, ya no es suficiente con que los profesionales de la seguridad de los datos sean tecnólogos, sino que hay una necesidad creciente de profesionales que tengan un amplio conocimiento del negocio de la empresa en la que desarrollan su actividad, de modo que sean capaces de trasladar a los órganos de la dirección, de un modo comprensible para ellos, los riesgos a asumir y su posible gestión.
Sin embargo, a pesar de la evolución que han tenido muchas empresas, y de los esfuerzos ingentes para alinear negocio y seguridad de la información, parece que aún no hemos hecho todos los deberes, y falta que conozcamos nuestros negocios en profundidad. De este modo, conseguiremos que la seguridad tenga un peso específico en los comités de dirección y en las decisiones empresariales, Por su parte, la dirección nos ayudará a determinar qué riesgos se pueden o no asumir. Con esta información podremos concentrarnos en lo “importante”.
Dicho esto, falta por precisar ese concepto de “Cultura de buen uso de la tecnología”. Nos referimos a la definición clara de límites y responsabilidades sobre el uso de los activos de información que pueden venir establecidas por instrumentos legales de obligado cumplimiento, o por buenas prácticas cuya implantación depende de las decisiones de la propia empresa. Sin embargo, es precisamente de este concepto del que tradicionalmente más hemos adolecido y que supone mayor esfuerzo. Bien sea por los derechos adquiridos, por la resistencia al cambio cultural que supone para los miembros de las organizaciones, o bien sea por el esfuerzo en coste y tiempo que supone la implantación de los controles y su evolución y mantenimiento en el tiempo.

El marco regulatorio
El marco regulatorio, directa o indirectamente relacionado con la seguridad de la información, ha ido aumentando hasta componer un cuerpo conjunto importante de normas y leyes en materia de gestión de la seguridad, lo que demuestra la preocupación de las autoridades sobre este contexto.
A las leyes de protección de datos de carácter personal, de protección en los procesos de transmisión, procesamiento y/o almacenamiento de datos de tarjetas de crédito, de firma electrónica, de propiedad intelectual, de delitos informáticos, se están sumando las regulaciones en materia de protección de infraestructuras críticas, y la reforma del código penal aumentando las responsabilidades de los gestores corporativos en la omisión de medios para la prevención de fraudes.
Toda esta normativa, que se nos viene encima, afecta a las organizaciones según su ámbito de jurisdicción territorial y su tipo de actividad. Además, hay que añadir el marco de actuación más o menos voluntaria, que son los códigos de buenas prácticas. Podemos decir que estamos ante un vasto escenario que supone un gran esfuerzo humano y económico de cara a su cumplimiento.
Dentro de este contexto legal, nos preocupa la creciente regulación sobre la organización de las seguridades. Parece que el marco regulatorio nos está llevando hacia una convergencia de las seguridades, concretamente a una cierta gestión centralizada de la seguridad física y la lógica, especialmente desde la aparición de legislación en materia de protección de infraestructuras críticas, y la creación del estamento administrativo estatal competente. Evidentemente, esto puede suponer un impacto importante en términos organizativos para aquellas empresas que han optado por un modelo separado.

La gestión de riesgos
El análisis de riesgos es un proceso sistemático para estimar la magnitud de las amenazas a las que está expuesta una organización, de modo que nos facilite su tratamiento mediante la selección e implantación de salvaguardas y controles para conocer, prevenir, impedir, reducir o controlar los que hayamos identificado.
Resulta especialmente importante tener en cuenta que, más allá de cualquier factor exógeno, la concepción que cada organización tenga de la gestión de riesgos y de la seguridad es, junto a su propio negocio, factor determinante para que en ella se establezca y evolucione un modelo de seguridad de la información.
En sí, los imperativos normativos y legales, y el uso extendido de nuevas tecnologías cada vez más complejas, se traducen en la necesidad de analizar y gestionar los riesgos derivados de su incumplimiento desde dos vertientes principales. Por un lado, la cualitativa, en tanto que hay que definir los umbrales de tolerancia y riesgo asumido, por otra parte, la cuantitativa, en tanto que es necesario decidir si compensa el coste económico de implementar las medidas técnicas y organizativas necesarias para alcanzar el umbral deseado.
Otra decisión, esta de muy alto nivel, sería la de poner en la balanza el precio del cumplimiento estricto, frente a los costes (reputación, multas, responsabilidades civiles, etc.) derivados de una posible sanción o multa por incumplimiento.
En nuestro caso concreto, más allá de la importancia del cumplimiento legal y normativo, lo cierto es que nos enfrentamos a un escenario tecnológico cada vez más abierto al exterior de nuestras fronteras lógicas, y a una creciente conciencia sobre la necesidad de impulsar un modelo de riesgos corporativos que dé cobertura a todo el negocio; lo cual, es un gran reto desde la perspectiva del análisis y la gestión de los riesgos.
En conclusión, disponer de un modelo maduro de gestión de los riesgos es cada día más vital, y ya no valen las acciones heroicas emprendidas como consecuencia de fallos, sino la optimización de los procesos para reducir el riesgo a un nivel aceptable. Se trata de alcanzar un equilibrio entre el negocio y la seguridad, particularizando el marco estratégico de la seguridad de la información para los intereses y la política específica de la compañía decidida por la dirección de la misma, y sin olvidar el marco regulatorio pero considerándolo en su justa medida. Lo cierto es que se medirá nuestra profesionalidad en la medida en que lo consigamos.

Definición y establecimiento del SGSI
Estamos hablando de la definición, en detalle, de los límites de uso y las medidas técnicas de control, que se desarrollan a partir de las políticas del gobierno corporativo de la seguridad de la información.
Implica la necesidad de establecer responsabilidades y límites de uso a los empleados de los organizaciones que, muchas veces, están acostumbrados a políticas de hechos consumados y de derechos adquiridos que resulta muy difícil de erradicar, sin hacer un importante esfuerzo en concienciar a las personas en la materia. En este punto nos parece imprescindible definir y establecer la figura de los responsables de los activos de información, para que se conviertan en aliados naturales de los gestores de la seguridad.
Aún así, realmente nos debe preocupar la existencia de ineficientes procedimientos de seguridad, control y gestión de la protección, frente al uso no autorizado de los activos de información corporativos. Por lo cual, debemos revisarlos periódicamente para adaptarlos a la evolución de la organización y del negocio, siendo la preocupación principal la cuestión de la idoneidad de los controles implementados, en la relación coste-beneficio que reportan a la empresa y los costes de gestión que suponen.
A su vez, el control del cumplimiento de los límites de uso supone la necesidad de implementar herramientas específicas de control, que van desde dispositivos de seguridad perimetral como cortafuegos y detectores de intrusión, hasta soluciones para evitar la fuga de información, o para la correlación y monitorización de eventos. La lista puede ser lo bastante amplia como para encontrarnos con el problema de la ineficiencia por el exceso de información para analizar.
A este respecto deben preocupar principalmente tres aspectos: 1) la heterogeneidad de tecnologías que monitorizan las herramientas indicadas, 2) su complejidad de gestión, y 3) la validez y adecuación de las evidencias digitales que nos permiten generar. En realidad, necesitamos poder realizar análisis forenses útiles.

La capacidad auditora de terceros
¿Hasta qué punto un tercero tiene derecho a auditarnos cuando lo considere conveniente, para asegurarse de nuestra adecuación a unos requisitos contractuales de seguridad? Es esta una cuestión que nos preocupa.
No tenemos claro si los terceros realmente tienen esta capacidad. Nos referimos a prestadores de servicios, para imponer requisitos de seguridad o para erigirse en órganos de auditoría de nuestros niveles de cumplimiento, sin estar avalados como tales.
Esperemos que introducir artículos contractuales en este sentido no se convierta en algo habitual. Nos estamos refiriendo al caso concreto de cuentas y tarjetas de crédito, es decir, el marco de PCI DSS. Quizá se trate de un hecho aislado, o producto de nuestra idiosincrasia, pero no es menos cierto que pone en duda la confianza en la propia esencia de las normativas existentes o de los órganos auditores, y también en la seriedad en la gestión de la seguridad de la información que llevamos a cabo cada una de las empresas. Sin embargo, entendemos que los prestadores de servicio se enfrenten a sanciones, y quieran repercutirlas a quienes son receptores de dichos servicios.