Podría decirte que el reciente plagio de información a la Oficina de la Presidencia de la República en México me hizo escribir esta colaboración.
Y bueno, sí y no. Porque este tipo de “situaciones” ocurren cada vez con mayor frecuencia en gobiernos, empresas y por supuesto y lamentablemente en lo personal.
Por eso quiero compartirte algunas consideraciones sobre la seguridad de la información con la que interactúas, en cualquiera de estos tres ámbitos.
Estrategia de seguridad
Erróneamente, esta protección se relaciona sólo a la ciberseguridad, la cual está obviamente influida por la eminente cantidad de información que es indispensable tener, mantener y compartir; todo esto producto de la trasformación digital, pero ésta sólo debería ser una parte de tu estrategia de seguridad de información.
Aquí una recomendación a considerar para una estrategia integral de seguridad: imagina que tu negocio pudiera tener el mejor esquema de ciberseguridad en términos de barreras cibernéticas y software de protección, pero no cuentas con procedimientos de control sobre la protección de tu documentación física (contratos, facturas, reportes) con respecto al resguardo, acceso, confidencialidad de ésta.
Seguramente has escuchado que las cadenas se rompen por el eslabón más débil que en ocasiones, para el tema que nos ocupa, suele ser el factor humano. No puedes pasarlo por alto, ya que las vulnerabilidades humanas, que pueden ser de forma voluntaria, aunque la mayoría de las veces son involuntarias son, a menudo, explotadas por los atacantes cibernéticos a través de ligas o correos “tramposos”.
Mejores prácticas
Por lo tanto, es importante que las empresas se den cuenta de la importancia de la educación y la concientización de sus empleados que deben capacitarse constantemente sobre las mejores prácticas de seguridad, así como los riesgos asociados para ellos y sus organizaciones (o personas) si no las siguen “al pie de la letra”.
También es indispensable contar con la definición de políticas y procedimientos de seguridad que deben ser constantemente publicadas a tu personal, actualizadas y según sea el caso, revisadas por expertos. Me pareció increíble que en el reciente caso que mencionaba sobre lo sucedido en la Presidencia (lo cito sólo como ejemplo), un empleado que ya no trabajaba en el gobierno desde hace dos años tuviera una clave de acceso activa. Que sirva como ejemplo y recomendarte que al momento que alguien salga de tu operación y antes que cruce la puerta, te asegures que todas sus claves y ligas queden totalmente inactivas; esto puede parecer muy obvio, pero ya vimos que no.
Otros procedimientos pueden orientarse a monitorear la actividad de accesos por internet de tus empleados, bloquear cierto tipo de páginas y tener reportes de pistas de auditoría para detectar y corregir cualquier tipo de anomalía contra las reglas y políticas de la empresa que debieran incluirse en el contrato laboral con el empleado.
Información de terceros
La Alta Gerencia debe comprometerse a crear, comunicar y monitorear este tema, pues además de protección de tus datos, las empresas tienen la responsabilidad de cuidar la información de terceros como son clientes, proveedores, empleados, contratistas, mismos que necesitas para realizar transacciones digitales.
Y fíjate que, aunque cuando esta es una de las iniciativas que tendrá más inversión para este año a nivel empresarial, aún no se encuentra como prioridad en la mayoría de ellas, bajo el falso supuesto de que por ser una Pyme o una persona “común y corriente”, no eres “candidato atractivo” para nadie; y sabes que, ¡NO! la información que tienes en tus sistemas y redes pueden ser atractivas a diferentes perfiles de delincuentes.
Física o digitalmente el robo de información puede dañar tu imagen y reputación, además de causarte serios daños económicos, e incluso, hacerte llegar a la quiebra. Además pueden afectar seriamente tu seguridad personal e incluso llevarte a enfrentar consecuencias legales.
Una delicada tarea
Así pues, la protección integral de la información no es ciencia ficción; tampoco es exclusivo para grandes empresas. Hay que recordar que existen Pymes expertas que pueden ayudarte y asesorarte con esta delicada tarea en tu mercado.
“La ciberseguridad no es una cuestión de perfección, sino de gestión de riesgos”: Brian Kreb.
