Seguridad de la información: una responsabilidad de todos los empleados

Entender la información como uno de los principales activos de una empresa requiere que la alta dirección se implique impulsando políticas de seguridad que transfieran a todos los empleados la responsabilidad sobre la seguridad de la información.

Prácticamente a diario nos bombardean con noticias relacionadas con ciberataques para robar información confidencial, influenciar a decisores de diferentes ámbitos o perjudicar en la reputación de una marca. Debemos asumir que el que no sea consciente de lo vulnerable de la información confidencial de las empresas es porque ha estado aislado del mundo los últimos años. Por tanto, las organizaciones deben abandonar ya el mantra de que se debe concienciar a los empleados; ya todos deberíamos estar concienciados. Es tiempo de que cada uno de nosotros asumamos nuestra responsabilidad en el tratamiento de la información confidencial de nuestras organizaciones, y en el uso profesional y personal de los servicios de Internet.

¿Por qué se hace imprescindible que la alta dirección impulse políticas de seguridad de la información?

Por poner un ejemplo, nadie concibe que un empleado genere un documento destinado a ser difundido entre los clientes en el que se utilice un lenguaje o soez, o se difame la marca de la empresa. Sería una falta grave que podría costarle el puesto de trabajo. Sin embargo, en muchos casos aún no se considera una falta grave que un empleado suba a Dropbox, sin ningún tipo de cifrado adicional, un archivo sujeto al Reglamento General de Protección de Datos, GDPR, para trabajar con dicha información en el ordenador de su casa, que, por cierto, comparte con el resto de la familia que acceden a todo tipo de sitios de Internet, y que tiene un antivirus sin actualizar desde que venció la licencia de prueba que venía instalada cuando lo compraron. Este hecho podría suponer multas millonarias a la empresa, así como importantes pérdidas relacionadas con caída de la reputación de marca, o uso de la información por la competencia.

Dada la cada vez mayor sofisticación de la ciberdelicuencia, los CISOs y CIOs de las organizaciones deben seguir estableciendo potentes medidas preventivas para evitar y detectar fugas de información. Pero además se hace imprescindible que la alta dirección impulse políticas de seguridad de la información, establezca las medidas para hacer seguimiento del grado de cumplimiento de dichas políticas, y proporcione herramientas para facilitarlo. De modo que ese cumplimiento recae sobre cada uno de los empleaos que genera, o trata con, información confidencial.

Cuando generamos un documento o lo vamos a enviar fuera de la organización, ninguna herramienta de clasificación automática puede saber mejor que nosotros el grado de confidencialidad de la información que contiene, por lo que nadie mejor que nosotros podrá clasificar el documento correctamente y establecer, si procede, las medidas necesarias de protección de la información para cumplir con la política de seguridad de la empresa.

Así, en función del nivel de clasificación, la política de seguridad nos indicará si podemos compartir cierta información, por ejemplo, compartiendo un enlace en un servicio de almacenamiento, y en su caso las medidas a adoptar, como puede ser el cifrado del archivo mediante una herramienta que nos permita gestión de permisos y registre el uso que se hace del él.

Herramientas para la clasificación de la seguridad de la información, y herramientas de cifrado, gestión de permisos de acceso, y registro de auditoría de uso de los archivos, se hacen imprescindibles para minimizar el riesgo del principal valor de cualquier negocio: la información. Proteger este valor, debe convertirse en una de las principales prioridades de sus responsables.

|2017-12-04T16:08:08+01:0023 Noviembre 17|BLOG: Seguridad|
Desarrollo de Negocio