Ingrid D. Gonzalez Yañez

Compliance Specialist en Chevez, Ruiz, Zamarripa y Cía S.C.

En los últimos días el tema de la ciberseguridad ha estado más presente que nunca en las mesas de debate de distintos foros. El motivo fue un incidente de seguridad que propició la difusión no autorizada de más de 6 terabytes de datos que por supuesto contenían información confidencial en contra de una de las instituciones de gobierno más importantes en México. Pero éste solo fue uno de los incidentes más relevantes de los últimos 90 días, a él hay que sumar eventos internacionales como una vulneración a una de las más grandes empresas de transporte privado de pasajeros, además, durante este periodo también se supo de una afectación a una empresa de videojuegos. Presumiblemente estos dos últimos ataques fueron perpetrados por la misma persona.

México también se ha visto impactado en el ámbito político con la filtración de extractos de supuestas conversaciones provenientes de la cuenta de usuario de un dirigente partidista en un canal de mensajería instantánea. Junto a esto, se dio a conocer que el dirigente también contaba en su poder con supuestas imágenes con contenido sexual de sus compañeras de partido. Por si esto no fuera poco, el informe completo de Ayotzinapa, que se encontraba clasificado como “reservado”, también fue revelado por una periodista que, estrictamente, no contaba con el consentimiento de quienes lo detentaban para hacerlo público.

Con todo esto como antecedente me parece que las preguntas lógicas que debemos hacernos son: ¿dentro de nuestras organizaciones, estamos cuidando adecuadamente la información?, ¿nuestros equipos de trabajo conocen las medidas básicas para proteger apropiadamente la información de nuestros clientes?, como líderes de un área ¿le damos importancia a la seguridad de la información en cada uno de nuestros proyectos?, ¿nuestros programas de cumplimiento buscan adoptar progresivamente las mejores prácticas de seguridad de la información y ciberseguridad?

Si respondiste “no” a alguna de las preguntas, este es un buen momento para generar las reuniones, correos electrónicos o “invites” necesarios hacia quienes dirigen la estrategia de seguridad de la información en tu organización y pedirles guía en estos temas. Recuerda, todas, todos o todes, siempre, tenemos algo positivo que aportar a la estrategia de seguridad o ciberseguridad de nuestros lugares de trabajo. Y es que la mayoría de las veces tenemos la tendencia a pensar que los ataques provienen de fuentes externas, y no prestamos atención a las pequeñas grandes amenazas internas como: colaboradores descontentos, falta de compromiso e involucramiento reales de la Alta Dirección, ausencia de programas de capacitación en seguridad de la información que se dirijan a todos los niveles de la empresa o descuidos personales durante la manipulación de los datos. ¿Cuántas veces nos movemos de nuestras estaciones de trabajo y dejamos a la vista de cualquier persona la información con la que estamos trabajando?

Entonces, ¿de qué hablamos cuando hablamos de seguridad de la información? En principio, hablar del tema supone tener la mente abierta y asumir formalmente un rol de corresponsabilidad en apoyo al CISO (Chief Information Security Officer u Oficial de seguridad de la información) ¿corresponsabilidad? ¿por qué? Sencillo, porque de poco servirá seguir invirtiendo en herramientas tecnológicas sofisticadas, si nosotras/nosotros/nosotres no nos preocupamos por usarlas adecuadamente o si permitimos que la rápida dinámica de nuestras actividades laborales diarias se anteponga a los controles establecidos por nuestra organización ¿quién no ha enviado, recibido o solicitado información de un cliente por WhatsApp? ¿cómo te afectaría o le afectaría a nuestros clientes la difusión del contenido de esas conversaciones, tal como le sucedió al dirigente partidista? Aunque seas parte del 13% de la población en México que usa un sistema operativo iOS[1] ¿tu celular cuenta al menos con un antivirus?

Hablar de seguridad de la información también implica dejar de lado prejuicios como aquel que supone que estos temas solo les competen a las áreas de “TI”, de “ciberseguridad” o que son “temas muy técnicos”. Nada es más falso que esa afirmación ya que estas prácticas van mucho más allá de la adquisición de firewalls o el cambio de contraseñas.

La seguridad de la información es el esfuerzo conjunto para mantener la confidencialidad, integridad y disponibilidad de los datos y activos que los contienen procurando la restricción a su acceso, su precisión, confiabilidad y utilidad. Al interior de una organización, esto implica establecer un gobierno de seguridad, cuyo propósito sea diseñar, planear, ejecutar y mejorar el desempeño de la estrategia elegida.

La robustez de los planes, políticas, procesos, procedimientos o controles dependerá de la naturaleza de cada organización y de la visión de la Alta Dirección. Una vez que las personas han sido elegidas habrá que dotarlas de roles, responsabilidades, autoridades y garantizarles recursos.

No podemos avanzar sin la identificación, análisis, valoración y tratamiento de los riesgos que al respecto acechan a nuestra compañía. Este ejercicio en particular requiere de la visión y comunicación de múltiples áreas. Como lo vemos, no todo es un tema técnico. 

De la mano de esto habrá que generar o fortalecer las campañas de educación, capacitación, concientización y sensibilización, enfocándonos en aquellas áreas que han sido identificadas como críticas. El éxito de esta etapa dependerá, entre otras cosas, del ánimo de las y los colaboradores por involucrarse y mejorar sus habilidades en estos temas, pues al proteger mejor la información con la que trabajan, se protegen a sí mismos y disminuyen la vulnerabilidad de la organización.

Y para proteger un dato hay que saber ¿qué proteger? lo recomendable siempre será identificar y priorizar aquello que genera valor a nuestra empresa ¿Cuál considerarías que es la información más valiosa en el área en la que tu laboras?, ¿Puedes identificar fácilmente cuál es pública o cuál debería ser confidencial?, ¿Tus colaboradores y colaboradoras clasifican, almacenan y protegen correctamente?

Acompañando estás actividades también se realizará el fortalecimiento o “endurecimiento” de nuestros sistemas. Estas sí son actividades especializadas y meramente técnicas.

Otra de las partes medulares en este tipo de implementaciones es el establecimiento del plan de gestión de incidentes y la designación del equipo de respuesta (IRT). Es vital que la mayoría de los miembros de una organización conozcan el plan, cuáles son los canales de comunicación adecuados para notificar cualquier actividad sospechosa que detecten y sepan cómo actuar en caso de que uno se presente.

Sin duda, uno más los aspectos a considerar es el tratamiento de los proveedores pues no se trata solo de cuidar el entorno interno, ya que en un mundo interconectado como en el que hacemos negocios, es indispensable unir esfuerzos con quienes compartimos información derivado de la prestación de un servicio. Por ello, es muy importante que nos preocupemos por revisar si al celebrar un contrato con un proveedor establecemos cláusulas relacionadas al uso aceptable de la información, si el documento define adecuadamente las obligaciones a su cargo, si de la lectura del contrato ubicamos claramente el lugar donde se almacenará la información que le entregaremos, si identificamos a las personas que accederán a nuestra información y definimos el periodo por el que lo harán, si acordamos la posibilidad de verificar el cumplimiento de estos compromisos y si ellos también tendrán la obligación de contar con un IRT. Aunque es posible que la redacción de estas cláusulas no nos competa directamente, sí está en nuestras manos verificar que este tipo de términos y condiciones sean incluidas dentro de los acuerdos o levantar la mano si advertimos que el proveedor puede estar en incumplimiento, porque todo suma al tratar de prevenir.

No quiero cerrar el texto sin antes contarte que hay una diferencia clara entre la seguridad de la información y la ciberseguridad. Pues mientras la primera invita a hacer una gestión 360, la segunda se aboca cien por ciento a la gestión de la seguridad en el mundo digital.

Te invito a seguir la reflexión y, en su caso, a cambiar algunas conductas en favor de tu organización, tu información, la de tus clientes y tus equipos de trabajo.

[1] The Competitive Intelligence Unit. Smartphones en México al 2T-2022: Reconfiguración del Ecosistema de Fabricantes. Recuperado el 21 de octubre de 2022 de: https://www.theciu.com/publicaciones-2/2022/9/5/smartphones-en-mxico-al-2t-2022-reconfiguracin-del-ecosistema-de-fabricantes