Facebook
Twitter
Youtube
Youtube
VerdadAbierta.com

Asegurar los activos intelectuales de su organización le permitirá mantener la diferencia en el mercado. Lo primero que debe hacer es identificarlos, protegerlos y entender cómo le ayudan en el éxito de su negocio.

Por: Felipe Silgado, Gerente de consultoría en seguridad de la información – PwC Colombia

En las organizaciones en las que se habla de seguridad informática se tiende a proteger la información que el negocio genera en su operación o la que los clientes entregan. Sin embargo, los activos intelectuales de la organización no son identificados y adecuadamente protegidos.

Los activos intelectuales (AI) son los que se refieren al conocimiento y diferenciación que la organización ha desarrollado en el mercado a través del proceso de mejora continua e innovación. Entre estos activos se encuentran el Know-How, los secretos industriales y los procesos de operación del negocio.

Los procesos de mejora continua e innovación de una organización requieren interactuar tanto con procesos internos como con entes externos a la organización, y en estas interacciones es donde la seguridad toma su importancia puesto que si estas actividades no se realizan de manera segura, pueden exponer la ventaja competitiva de la compañía.

La protección de los AI puede realizarse mediante diversos controles técnicos, administrativos e incluso físicos, como por ejemplo:
• Técnicos: Cifrado de datos, control de acceso a repositorios documentales, monitoreo de las comunicaciones, restricción de acceso a servicios de correo y mensajería externos, entre otros.
• Administrativos: Chequeos de historial de hojas de vida del personal, contratos y acuerdos de confidencialidad, sensibilización y capacitación, entre otros.

• Físicos: Controles de acceso a oficinas y archivos físicos, cámaras de video, entre otros. Sin embargo, lo que se recomienda realizar primero es un análisis de los riesgos para determinar cuáles son los controles más críticos que deben ser implementados para proteger estos AI.

Análisis de riesgos de seguridad de la información de los AI

Es crucial para identificar los niveles de protección actuales y las medidas de mitigación requeridas para su adecuada protección. En general, el riesgo se mide como la multiplicación entre el impacto y la probabilidad de ocurrencia (Riesgo = Impacto * Probabilidad). El impacto se refiere a la(s) consecuencia(s) luego de materializado el riesgo, y la probabilidad se refiere a si podría o no suceder el riesgo y con qué frecuencia.

El ciclo de gestión de riesgos inicia con la identificación de los riesgos asociados a los AI, por ejemplo, si uno de los AI es un plan estratégico de mercado, este puede ser un documento digital en un repositorio de información electrónico, por lo cual estaría expuesto a riesgos tales como: acceso no autorizado, fuga de información, daño o pérdida, entre otros.

Luego de identificados los riesgos aplicables a cada AI, se evalúan los dos aspectos del riesgo: el impacto, respondiendo a preguntas como: ¿qué pasaría si se divulga por error la información?, ¿Si alguien altera el archivo sin autorización?, ¿Si se pierde el archivo? Y la probabilidad de ocurrencia, verificando, por ejemplo, en estadísticas de la empresa o mundiales cuántas veces al año se daña un disco duro o cuántas veces al año un usuario, por error, divulga información.

Una vez calificado cada riesgo identificado y verificando cuáles resultaron calificados con valores más altos, se procede a definir las acciones de mitigación, que son controles técnicos, administrativos o físicos, los cuales ayudarán a que sea menos probable que el riesgo se materialice, o a que el impacto no sea muy alto en caso que el riesgo ocurra en la organización.

Finalmente, el riesgo se monitorea permanentemente, es decir, se evalúa de nuevo y se identifican actividades mitigantes para asegurar que éste se mantenga dentro de un nivel de calificación aceptable para la organización.

Los controles para mitigar los riesgos pueden ser seleccionados utilizando la norma ISO/IEC 27002, la cual contiene un portafolio de controles de seguridad de la información que pueden ser tomados para realizar el tratamiento de los riesgos.

Por otra parte, se puede utilizar la norma ISO/IEC 27001 y el marco de trabajo CobIT (Control Objectives for Information and Related Technology de ISACA) para definir los objetivos de control de la organización y así establecer un gobierno de seguridad de la información que permita una adecuada protección de los AI.

La integración

Considerando el estándar ISO/IEC 27002 se pueden identificar aquellas secciones que tienen más relevancia dentro de la protección del proceso de innovación de la organización, de tal forma que se cuente con un marco completo de seguridad de la información, basado en un gobierno de seguridad sólido el cual se integra utilizando CobIT.

Como ejemplo de los aspectos que pueden ser tenidos en cuenta en el marco de protección están los siguientes:
• Seguridad del recurso humano (Sección 8 de la ISO/IEC 27002): Controles desde la contratación de personal hasta la terminación de la relación laboral, incluyendo los aspectos de sensibilización y capacitación, para mantener protegidos los AI. Se soporta en el objetivo PO7 Gestión de los Recursos Humanos (CobIT).
• Adquisición, desarrollo y mantenimiento de sistemas de información (sección 12 de la ISO/IEC 27002): Protección de los sistemas y aplicaciones que resguardan y procesan información de los AI, y los aspectos relacionados con desarrollo seguro de aplicaciones.
• Gestión de operaciones y comunicaciones (Sección 10 de la ISO/IEC 27002): Protección de las comunicaciones por donde se envía, recibe o transfiere información de los AI, al igual que cifrado de toda la información de los AI.
• Seguridad física y ambiental (Sección 9 de la ISO/IEC 27002): Protección de las instalaciones de la compañía contra accesos no autorizados de personas y contra posibles incidentes como incendios, inundaciones, entre otros.
• Control de acceso (sección 11 de la ISO/IEC 27002): Control de acceso a los AI para mantener los niveles de confidencialidad y acceso a éstos.
• Cumplimiento (Sección 15 de la ISO/IEC 27002): Protección de los AI a través de contratos, cumplimiento de leyes de derechos de autor, generación de contratos de licenciamiento, licenciamiento de patentes, acuerdos de confidencialidad, entre otros.
• Gestión de incidentes (Sección 13 de la ISO/IEC 27002): Monitorear los eventos de seguridad de los AI y gestionar los incidentes relacionados con la seguridad de los AI.

Una vez implementado este marco de protección, se debe mantener una revisión y monitoreo permanente de los riesgos, esto debido a que van cambiando con el tiempo al igual que los AI, y será necesario definir nuevas protecciones de seguridad y ajustes. 

Existen diversos marcos de trabajo de seguridad de la información que pueden llevar a la organización a proteger sus AI. Sin embargo, se recomienda utilizar los estándares y marcos de trabajo internacionales, ya que son los que contienen las mejores prácticas que las organizaciones a nivel mundial han identificado para la protección de sus activos.