Los objetivos de seguridad de la información de una organización son imprescindibles para garantizar la confidencialidad, integridad y disponibilidad de la información y los datos almacenados en los sistemas de información. Los reguladores también prescriben requisitos de confidencialidad, integridad y disponibilidad de datos.

Las autoridades reguladoras reconocen que la industria financiera se basa en la confianza y la santidad de las transacciones financieras. Debido al papel fundamental de las organizaciones e instituciones y a la extrema sensibilidad de sus recursos y activos de información, no se puede exagerar la gravedad de la seguridad de la tecnología de la información y las amenazas cada vez mayores a las que se enfrentan.

Los objetivos de seguridad de la información

A medida que más y más productos y servicios se vuelven impulsados por la tecnología y dependen de los activos tecnológicos, las organizaciones tienen que enfrentar más riesgos. Las organizaciones deben proteger los recursos y la información y salvaguardarlos para garantizar el buen funcionamiento de las actividades comerciales y operativas.

Por lo tanto, las organizaciones deben establecer pautas para la seguridad de TI a través de la comprensión y el abordaje de las siguientes áreas mínimas:

• Compromiso con la seguridad informática
• Seguridad de TI
• Gestión de riesgos de seguridad de TI
• Desarrollo de políticas de seguridad de TI
• Concienciación y formación sobre seguridad de TI
• Equipo de seguridad de TI
• Planificación de contingencia y recuperación ante desastres

El objetivo es aumentar la conciencia de seguridad de TI de las organizaciones y, en segundo lugar, implementar directrices para formular un marco eficaz de seguridad tecnológica en toda la institución, para proteger su valiosa información y recursos.

Las directrices proporcionan un punto de partida para establecer prácticas y procedimientos que eventualmente reducirán la probabilidad de un ataque interno o externo a los recursos de TI y limitarán el daño causado por un incidente inadvertido o malicioso. Se requiere un compromiso con la seguridad de los datos y la información, y un claro compromiso y dirección hacia la seguridad de TI, por parte de la alta dirección y la junta directiva.

Idealmente, cada organización debería establecer un comité de supervisión de TI para supervisar el uso efectivo de la tecnología y los recursos, apoyar los objetivos comerciales y operativos, e identificar riesgos significativos de seguridad de la información.

El comité guía en el diseño y modificación de las políticas para hacer frente a los riesgos de TI e información, documentando problemas e iniciativas, y monitoreando el desempeño del equipo. El comité puede ser una mezcla de personal de la alta gerencia, incluidos los jefes de negocios y los altos funcionarios de TI, y deben reunirse periódicamente y documentar las actas de las reuniones.

Los miembros del Comité deben elaborar adecuadamente y presentar periódicamente el programa de Seguridad Informática al Consejo de Administración. Las organizaciones generalmente dependen en gran medida de los sistemas de información y comprenden las amenazas internas y externas existentes, como el acceso no autorizado a datos financieros críticos, las interrupciones del servicio, la suplantación de clientes y el robo o alteración de la información. Cuando una organización realiza transacciones, es propensa a la pérdida de datos o a los riesgos de mal uso. Los mecanismos y políticas de riesgo y control están evolucionando para restringir estos riesgos de seguridad de la información a un nivel aceptable.

El éxito de un programa de seguridad de TI depende de sus prácticas y medidas efectivas en torno a la gestión de riesgos. Con una gestión adecuada de los riesgos de seguridad, una organización puede identificar, evaluar, medir y supervisar los riesgos de seguridad de la información y tomar las medidas adecuadas para reducirlos.

Para prácticas efectivas de gestión de riesgos, se deben seguir los siguientes pasos vitales en el orden prescrito:

1. Identificación del sistema o áreas

Como primer paso, se recomienda que la organización realice un ejercicio detallado para identificar todos sus sistemas y activos de información, incluida la tecnología y los activos relacionados, que son necesarios y participan en el apoyo a las actividades comerciales de la organización.

Luego, la organización debe priorizar todos los sistemas y recursos de información identificados con un valor comercial, en términos de la información que procesan y el costo asociado con ellos, para facilitar la toma de decisiones y una evaluación precisa y realista.

Las organizaciones también pueden considerar asignar la propiedad dentro de sus respectivas organizaciones para la tecnología identificada y los activos relacionados con responsabilidades claras para protegerlos.

2. Evaluación y reevaluación de riesgos

La evaluación de riesgos debe realizarse para ayudar a la organización a determinar las posibles amenazas y vulnerabilidades y sus impactos y consecuencias en los datos y sistemas de información identificados.

Los riesgos de seguridad de la información deben evaluarse desde todos los aspectos de la seguridad de TI, incluidos los aspectos físicos, administrativos, ambientales y técnicos.

También debe identificar las fuentes de amenazas y vulnerabilidades potenciales, la probabilidad de un evento que explote esa vulnerabilidad y el impacto adverso resultante de ese evento. La reevaluación de riesgos debe ser un proceso continuo.

3. Mitigación de riesgos

Se deben establecer controles de reducción de riesgos para mitigar o eliminar los riesgos de seguridad de la información identificados y proteger la misión de la organización al costo apropiado, con un impacto adverso mínimo posible, en el propósito comercial y sus objetivos.

Los controles de seguridad técnicos y de procedimiento recomendados deben evaluarse y priorizarse, considerando el impacto operacional de los riesgos, la viabilidad de los controles de mitigación y su análisis de costo-beneficio.

Reflexiones finales

Las organizaciones pueden proteger los datos digitales y analógicos con seguridad de la información. La criptografía, la informática móvil, las redes sociales, así como la infraestructura y las redes que contienen información privada, financiera y corporativa, están cubiertas por InfoSec. Por el contrario, la ciberseguridad protege tanto los datos brutos como los significativos, pero solo de las amenazas basadas en Internet.

La seguridad de la información es implementada por las organizaciones por una variedad de razones. Los objetivos principales de la seguridad de la información generalmente se refieren a garantizar la confidencialidad, integridad y disponibilidad de la información de la empresa. Debido a que la seguridad de la información abarca tantos dominios, con frecuencia implica la implementación de varios tipos de seguridad, como la seguridad de las aplicaciones, la seguridad de la infraestructura, la criptografía, la respuesta a incidentes, la gestión de vulnerabilidades y la recuperación ante desastres.