LA INFORMACIÓN COMO
ACTIVO DE LA ORGANIZACIÓN
La información que gestionamos diariamente en nuestras organizaciones es esencial para llevar a cabo los distintos procesos de negocio de esta, tales como compras, contratación, contabilidad, ventas, etc.
Durante el ciclo de vida de la gestión de la información, podemos identificar algunas actividades claves que nos ayudaran a proporcionar el nivel de seguridad requerido, como lo son:
El almacenamiento, tratamiento y gestión de la información, en formato digital o en otros formatos son las actividades que conforman los llamados sistemas de información que soportan las actividades de la empresa.
Ahora bien, la información de la organización también es un activo, el cual, en la actualidad, corresponde al activo mas importante, donde podemos clasificarlos de la siguiente manera:
- Tangibles: Aquellos activos que componen los sistemas de información, son fáciles de identificar, ya que los podemos identificar a simple vista, como lo son computadores, notebooks, dispositivos de almacenamiento, teléfonos móviles, etc.
- Intangibles: Aquellos activos de información que son esenciales para la empresa, pero que no los podemos ver a simple vista, como lo son el know- how de los colaboradores, la reputación de la organización, el software, la cartera de clientes que se maneja, los precios por los servicios prestados, la propiedad intelectual, etc.
Gestión de la información en la organización
Debemos tener en consideración que todas las organizaciones deben preocuparse por su información y ante esto, es lógico pensar que la información es un recurso esencial para estas, principalmente para aquellas cuyo negocio se basa en ella, como las que se dedican a prestar servicios a clientes, administración de tecnología, publicidad, prensa, contenidos multimedia, etc. Pero, todas las empresas deben preocuparse por su información, pues de no estar disponible, alterarse o difundirse sin consentimiento podría afectar a la normal operación de estas. Por ejemplo, si los diseños de nuevos productos, la cartera de clientes o las tarifas internas cayeran en manos de la competencia las consecuencias podrían ser muy negativas para nuestro negocio y nuestra reputación.
Podemos hacernos la siguiente pregunta organizacionalmente ¿Cómo afecta la seguridad de la información? Pues es muy fácil de responder, si la información de la organización se ve comprometida, la marcha del negocio también, debido a múltiples factores, fuga de cliente, efectos reputacionales, pérdida de nuevos contratos, etc.
Ante este escenario, podemos identificar tres tipos de incidentes de seguridad que la organización puede verse afectada, los cuales explicamos a continuación:
- Accidentales: los sucesos no intencionados son la causa de muchos incidentes. Algunos ejemplos son: borrado de un archivo que pensabas que ya no servía, enviar un correo a un destinatario erróneo o sencillamente una avería en el disco duro.
- Intencionados por parte de empleados o insiders: son los propios empleados los que deciden llevarse información de la empresa, causar infecciones o facilitar el acceso a tercero. Lo hacen por motivos propios, empleados insatisfechos o bajo la influencia o el soborno de ciberdelincuentes. Un insider puede causar muchos incidentes pues tiene fácil acceso a la información de la empresa. En particular, los robos o fugas de información son fáciles de realizar dado el reducido tamaño de los dispositivos de almacenamiento extraíble y su creciente capacidad, la accesibilidad a los servicios de almacenamiento en la nube o debido al acceso generalizado al correo electrónico.
- Causados por ciberdelincuentes: utilizando malware que introducen aprovechando debilidades de nuestros sistemas y en ocasiones nuestra ingenuidad o falta de preparación, como cuando utilizan ingeniería social. El malware puede robar información como es el caso de los troyanos o hacerla inaccesible para su propietario al que extorsionan pidiendo un rescate como hacen los llamados ransomware, o hacer que nuestro equipo esté a las órdenes de una botnet que realiza cualquier actividad delictiva.
Características de la información que debemos proteger
A la protección de los activos de información frente a las amenazas que puedan afectar a su disponibilidad, integridad o confidencialidad la denominamos seguridad de la información.
La seguridad de la información consiste en conservar y proteger tres propiedades, lo que comúnmente se conoce como CID:
- Confidencialidad: Corresponde a la propiedad por la que la información no se pone a disposición o no se revela a individuos, entidades o procesos no autorizados, es decir, la información confidencial es aquella que debemos proteger del acceso de personas no autorizadas. La información confidencial puede encontrarse en formato digital, pero también en formato físico (papel y otros soportes) o ser parte del conocimiento de las personas. Independientemente del formato en que se encuentre, se debe proteger. Es responsabilidad de los empleados conocer qué información es confidencial y a quién puede o no comunicarse.
- Integridad: Es la característica de la información que protegemos para que esté libre de modificaciones y errores que impliquen cambios en su contenido. Existe un fallo de integridad cuando la información, por ejemplo, la de un informe de ventas, ha podido ser alterada intencionadamente y podemos basar nuestras decisiones en ella. Otros ejemplos de fallos de integridad son el borrado parcial, ya sea accidental o no, de bases de datos, archivos o programas.
- Disponibilidad: Atienda la propiedad que hace referencia a que la información esté accesible cuando la necesitemos. Por ejemplo, cuando es imposible acceder al correo electrónico corporativo debido a un error de configuración, o bien, cuando se sufre un ataque de ransomware, en el que los archivos son cifrados impidiéndonos el acceso a los mismos.
Datos Personales
Los datos personales y la privacidad se han convertido en una prioridad para la sociedad y para todas las empresas.
Se considera dato de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”, es decir, un rut es un dato de carácter personal, una fotografía es un dato de carácter personal, e incluso el dato de la estatura de alguien es un dato de carácter personal, si podemos, de alguna forma, saber a quién pertenece.
Se debe tener en consideración que es importante respetar la privacidad de la información de los clientes que la organización, los colaboradores y todo aquel dato que tengamos que resguardar, lo cual implica aplicar la ley correspondiente para estos efectos.
Un claro ejemplo que debemos considerar corresponde al RGPD, el cual es el Reglamento General de Protección de Datos, el cual fue elaborado por el Parlamente Europeo, la cual tiene el siguiente contexto:
- Es aplicable a empresas, sociedad, comunidades y autónomos que realicen algún tipo de tratamiento de datos personales.
- Se debe conocer el Reglamento para cumplir con la ley, donde el empresario es quien debe proporcionar la información específica a sus colaboradores.
- Se si lleva a cabo un tratamiento incorrecto sobre los datos personales que se gestionan en la organización, puede llevar a graves consecuencias para esta y su continuidad en el tiempo.
Donde se debe en consideración:
- Los incidentes de seguridad que afectan los datos personales tienen que ser reportados Agencia Española de Protección de Datos (AEPD) y a los afectados.
- El incumplimiento legal lleva asociadas sanciones económicas.
Para cumplir el RGPD, se deben cumplir con los siguientes requisitos:
- Identificar si se realizan tratamientos de alto riesgo con datos especialmente protegidos o a gran escala. Si se considera que no son tratamientos de datos de alto riesgo, se debe justificar esta decisión.
- En lo que respecta a los Derechos y Libertades, se debe tener en consideración:
- Informarlos de forma visible, accesible, sencilla y transparente.
- Obtener el consentimiento expreso sobre la información que se gestionará.
- Permitir que se pueden ejercer los derechos de acceso, rectificación, eliminación, limitación, portabilidad, oposición y derecho a no ser objeto de decisiones individualizadas.
- Informar en caso de violaciones de seguridad que pudieran afectar.
- Garantizar la confidencialidad, integridad y disponibilidad de los tratamientos de datos personales.
- Permitir que las autoridades puedan verificar que el tratamiento de datos se realiza de forma correcta a su nivel.
¿Quieres recibir más de nuestros contenidos?
Escríbenos tu correo y haz click en el botón.
Bienvenido a nuestra comunidad de Conytec.