Hojear la revista
Portada
Editorial
En Corto
De Forma y Fondo
7 Consejos para acelerar una negociación
Artículo de Portada
Un gobierno diferente
Hablemos de Negocios y Competitividad
La competitividad de Aguascalientes hoy
Opinión
¿Qué queremos para Aguascalientes?
Ecología
Manos a la obra en época de lluvias
Sección Especial
Facultad de Derecho
UP Bonaterra
Legalidad e informalidad en los negocios
10 puntos a tomar en cuenta... Para usar títulos de crédito
Nuevas Tecnologías
La fuga de información en las empresas
Novedades
NUEVAS TECNOLOGÍAS
La fuga de información en las empresas:
un problema a subsanar a base de concienciar al personal
Versión para imprimir
Enviar a un amigo
 

Eduardo Campos Segura
Director General, PROSEG Information Security

La mayor parte de las empresas pierden información valiosa por el extravío de los dispositivos electrónicos y en menor porcentaje por robo.

De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o dispositivos como discos compactos y memorias USB.

Las personas en general utilizan sus computadoras portátiles en lugares públicos sin considerar que las actividades que realizan en ellas, pueden estar siendo observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos de destrucción controlada de información una vez que los dispositivos van a reasignarse, también es un elemento de protección.

Generalmente hablamos que los problemas que se generan en la seguridad informática pasan por el concepto de cultura de seguridad. No obstante, se hace muy poco para lograrla y en muchas ocasiones se ha dicho que la creación de un programa de concienciación sobre la importancia de la información y su protección en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que es el usuario final.

Así, un plan de cultura organizacional dirigido a la seguridad informática debe ser completo, esto es, que incluya  políticas sobre aspectos de seguridad, reuniones con grupos objetivo, una metodología adecuada, y sobre todo, estar apoyada por la alta dirección.

Cuando se da vida al programa de cultura, tenemos que entender que este escenario es dinámico y por lo tanto está en construcción permanente, lo que significa que sus definiciones y documentos debemos usarlas todos los días, pues no se trata de elaborar un texto para archivarlo y dejarlo llenar de polvo en un escritorio de la organización. Adicionalmente, se hace necesaria la creación de indicadores que nos permitan medir (lo que no se mide, no se puede mejorar) la eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos y mejoras necesarios que lleven al funcionamiento óptimo del programa.

Muy seguramente en el camino nos encontraremos con algunos obstáculos que hay que sortear y que son de carácter general en cualquier organización que quiera implementar un plan de cultura para la seguridad. Algunos de los obstáculos pueden ser:

• No reconocer que la seguridad es tarea de todos         
• La llegada de una nueva tecnología     
• La falta de seguimiento adecuado al programa
• No recibir apoyo de la alta dirección    
• Empleados reacios a cambiar paradigmas

Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir qué clase de metodología se necesita en nuestras organizaciones. Generalmente las metodologías utilizadas constan de cinco grandes ítems: análisis, diseño, desarrollo, implementación y una evaluación y mantenimiento. También por supuesto, se hace necesario que las campañas de culturización sean de forma completa y no simplemente con carteles que vemos pegados en paredes de la empresa, pues por sí solos no consiguen nada.

Es interesante comprender que por muy robustos sistemas de seguridad que se posean, es inútil si el usuario no forma parte del programa de cultura de seguridad y si no se desarrolla una métrica para evaluar el avance del mismo, que permita precisar si realmente se está cumpliendo o no con los objetivos del programa.