Seguridad en la nube (II)

En mi post anterior comentaba la necesidad de identificar por parte de los propietarios de la información de una empresa, aquella que pudiera ser crítica para su supervivencia, como un paso previo para determinar cuáles serían los mejores mecanismos para su protección y además pudiera contribuir a determinar el modelo de nube más adecuado a nuestras necesidades.  Lógicamente dichos mecanismos serán muy diferentes dependiendo del tipo de amenaza de la que queramos protegernos. Hoy en día podemos encontrarnos amenazas de muy diferente tipología. En la imagen mostrada a continuación, pueden verse algunos ejemplos. Normalmente los “enemigos” de una organización siempre intentarán acciones que les reporten el máximo de beneficios, por lo que irán dirigidas hacia la información que pueda resultar más crítica y sensible para dicha organización.

Un problema tradicional y recurrente en la mayoría de las empresas, es no analizar convenientemente el nivel de relevancia que tiene la información para la empresa. No toda la información debería tratarse de igual manera desde el punto de vista de la seguridad de la información. Deberíamos poner el foco en la información más sensible para la empresa. En mi opinión, lo mismo que en los programas militares se clasifica la información de acuerdo a diferentes criterios, en los programas civiles debería hacerse algo similar. Es una metodología que podría adaptarse de una manera sencilla y simplificada al entorno civil y que reportaría grandes beneficios a la empresa. Como decía en mi post anterior, dicha metodología debería introducirse en los inicios de cualquier proyecto de I+D+i que arranque en la empresa, donde se analice el nivel de sensibilidad de la información que va a generarse y gestionarse. Es una buena práctica que la mayoría de las veces nos llevará poco tiempo y de paso nos serviría para hablar de los temas relacionados con la propiedad industrial e intelectual.

En su versión más simplificada podríamos pensar en clasificar la información en dos niveles, por ejemplo: Difusión ilimitada y Secreta.

En el primer nivel de Difusión ilimitada no habría ningún problema en compartirla a través de los medios que consideremos (solo se incluirían aquellos controles que por las necesidades del negocio o simplemente por requerimientos del control de configuración de la documentación del proyecto se consideraran necesarios). En cambio en la información clasificada como Secreta (si hay algo) es donde analizaríamos con más esfuerzo y dedicación, cuales serían los mejores mecanismos tanto de tipo organizativo, legal y  tecnológico que mejor nos pudieran proteger ante cualquier tipo de amenaza.

Por ejemplo, podríamos pensar en la información detallada sobre un producto, invento o tecnología que fueran clave para la organización. Además, en el ámbito del proyecto correspondiente sería el momento de decir a todo el equipo humano involucrado que no publiquen nada al respecto (si se publicara ya no podría patentarse por ejemplo), por si se decidiera más adelante proteger con alguno de los mecanismos establecidos por la ley (patentes, modelos de utilidad, etc). Según en qué casos y situaciones, patentar no es siempre la mejor alternativa de protección.  Por ello, en algunos sectores se patenta poco. También podríamos optar por el secreto industrial, con lo cual además de clasificar la información deberíamos establecer los acuerdos de confidencialidad correspondientes, con todo aquel que participe en el proyecto con necesidad de acceder a información sensible, incluidos los propios empleados, que como ya apuntaba en mi post anterior suelen ser con cierta frecuencia el eslabón más débil de un sistema de seguridad de la información.

En mi opinión, los responsables de informática como depositarios de la información de la empresa, deberían contribuir a la divulgación de este tipo de actividades, sobre todo en aquellas organizaciones que no exista cultura de ello, como suele ser lo habitual en nuestro país. Los mayores esfuerzos en seguridad deberían orientarse hacia la información más sensible de la empresa. Hay que recordar, que el término anglosajón CIO “Chief Information Officer” utilizado ya en muchas empresas, entre sus funciones debería incluir la protección de toda la información sensible de la empresa ante posibles ataques o amenazas de terceros.

1 Estrella2 Estrellas3 Estrellas4 Estrellas5 Estrellas (Sin Valorar)
Cargando ... Cargando ...


Suscribirse a comentarios Comentarios | Trackback |

Comentarios ( 1 Comentario )

[...] Seguridad en la nube (II) [...]

Comunicación eoi 15 enero 2013 enviado el 15/01/13 11:32

Enviar comentario

Debe identificarse para enviar comentarios.