Opinión Juridica.Externalización de la Seguridad de la Información

Por Abel González Lanzarote. Director de Desarrollo de Negocio de ECIJA

Cuando tenía unos doce años y mi única formación jurídica eran las películas de juicios, viendo precisamente una con mi padre, que es abogado, me preguntó si serían necesarios los abogados si nadie matara, robara o hiciera nada malo a los demás. Muy seguro respondí que, en ese caso, nadie los necesitaría. Aún cuando inmediatamente me quedó claro lo equivocado que estaba, y que es obvio que el derecho articula nuestra vida en sociedad cada día, bien es verdad, que los abogados tienden a actuar únicamente cuando algo (generalmente malo) ha ocurrido. “A posteriori”.

La gestión de la seguridad de la información también sería necesaria aunque no hubiera ningún “malo” porque el factor humano, en el contexto de la sociedad de la información en el que vivimos, hace imprescindible la gestión constante y adecuada de la información que manejamos para que no se pierda, no se altere y acceda a ella sólo quien o quienes nosotros queremos. Sin embargo, igualmente, se tiende a actuar cuando el daño o el incidente ya se ha producido, reaccionando de forma descoordinada y atropellada para recuperarnos cuanto antes del tremendo susto (o peor) sufrido.

Parece evidente que sería mucho más eficiente en uno y otro contexto, tanto el jurídico como el técnico, actuar “a priori”, con lo que nos ahorraríamos muchos disgustos y muchos euros.

Más aún, en un entorno multidisciplinar como es el de la protección de la información donde tanto jurídicos como técnicos deben trabajar de la mano con criterios de organización y gestión.

La cara actual del fraude es digital. Son continuas las noticias de incremento de ataques más o menos indiscriminados, de redes mafiosas que actúan a través de la red, troyanos, malware, hackers, etc, mientras desde todas las instancias se nos dice que debemos confiar en el uso de las nuevas tecnologías e Internet para que hagamos el mayor número posible de actividades.

Y por supuesto que debemos confiar, pero debemos dar y tener motivos para ello.

La prevención y la consiguiente reducción del riesgo son claves para dicho propósito.

Pequeños pasos como la adquisición de productos básicos de seguridad tales como antivirus o firewalls o el cumplimiento (muchas veces a regañadientes) de Leyes Orgánicas como la de protección de datos de carácter personal, siendo necesarios, son claramente insuficientes.

La seguridad no puede verse como un hecho aislado sino que debe responder a un proceso de mejora continua. Abarca todos los frentes de la organización, información, tecnología, la organización en sí misma y todo ello supeditado a la relación coste/beneficio.

A día de hoy, la gestión de la información de seguridad ha ganado importancia pero también ha incrementado significativamente su complejidad. El problema que surge es la incapacidad de poder tener una visión única de las dependencias e interrelaciones de los datos dentro de la organización y su impacto en la seguridad de la misma. Se impone la gestión centralizada de la información de seguridad con criterios de gestión comunes, independientemente de la tecnología que se use para obtenerla.

La especialización y actualización constante requerida por esta materia y la necesidad de gestión las 24 horas del día, los 365 días del año para que sea realmente efectiva exige necesariamente la externalización de la misma.

Por motivos de eficiencia y optimización de recursos, las empresas y administraciones públicas no pueden perder su tiempo y su dinero intentando gestionar el día a día de algo que cada vez es más complejo y más crítico para su actividad.

Así lo ha entendido también el recientemente aprobado Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero de 2010) que establece los criterios y principios a aplicar para generar la suficiente confianza en los ciudadanos en el uso de la administración electrónica. El ENS viene a dar categoría jurídica a lo que las distintas ISO27000 ya vienen recomendando desde hace años recogiendo simplemente el sentido común.

Queda claro que es imprescindible contar con las herramientas adecuadas y con expertos permanentemente al día para poder gestionar la protección de la información como elemento clave de toda organización. Y ello debe hacerse todas las horas del día, todos los días del año y manteniendo permanentemente informada a la organización mediante cuadros de mando que le permitan tener el control de su situación.

No se pretende externalizar el core de una organización, sino precisamente lo que lo protege para que la empresa o administración pública pueda concentrar sus esfuerzos en dicho core sin incurrir en costes difícilmente asumibles para poder proteger y gestionar adecuadamente la seguridad de su información.

En definitiva, es inevitable contar, tarde o temprano, con el apoyo de un Centro de Gestión de Seguridad externo, en terminología anglosajona Security Operations Center (SOC) que monitorice permanentemente y que nos ayude a gestionar nuestra seguridad combinando medidas técnicas y jurídicas en el día a día y que proteja nuestro negocio en todo momento.

Sin necesidad de sufrir ningún ataque, fraude o acción ilícita contra nuestro negocio o nuestra imagen, esta gestión va a ayudar a que tengamos un control sobre nuestra información que redunda directamente en la mejora de la gestión de nuestra actividad.

Pero además, la gestión continua minimiza drásticamente el riesgo y permite no sólo una imprescindible prevención, sino también una respuesta mucho más rápida, eficiente y efectiva en caso de que el riesgo se materialice en cualquier momento, y no duden de que tarde o temprano se materializará (si no lo ha hecho ya).

...