{"id":4762,"date":"2011-01-10T16:36:22","date_gmt":"2011-01-10T16:36:22","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/011\/01\/10\/lecciones-aprendidas-a-partir-de-wikileaks-que-es-exactamente-la-seguridad-de-la-informacion\/"},"modified":"2022-12-28T12:46:10","modified_gmt":"2022-12-28T12:46:10","slug":"lecciones-aprendidas-a-partir-de-wikileaks-que-es-exactamente-la-seguridad-de-la-informacion","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/es\/blog\/2011\/01\/10\/lecciones-aprendidas-a-partir-de-wikileaks-que-es-exactamente-la-seguridad-de-la-informacion\/","title":{"rendered":"Lecciones aprendidas a partir de WikiLeaks: \u00bfQu\u00e9 es exactamente la seguridad de la informaci\u00f3n?"},"content":{"rendered":"<p>En estos d\u00edas, WikiLeaks se transform\u00f3 en una historia extraordinaria por un buen motivo: no es muy habitual encontrar publicados en Internet documentos confidenciales del gobierno m\u00e1s poderoso del mundo. Y algunos de estos documentos son, para decirlo respetuosamente, embarazosos.<\/p>\n<p>No voy a escribir aqu\u00ed sobre si fue legal o no que WikiLeaks publicara esa informaci\u00f3n, si la informaci\u00f3n deber\u00eda haberse dado a conocer o no porque es de inter\u00e9s p\u00fablico, qu\u00e9 suceder\u00e1 con el fundador de WikiLeaks (al momento de redactar este art\u00edculo, Julian Assange se encontraba detenido), etc.<\/p>\n<p>El problema es que si WikiLeaks es cerrado, aparecer\u00e1 un nuevo WikiLeaks. En otras palabras, la amenaza de fuga de informaci\u00f3n a la opini\u00f3n p\u00fablica aumenta constantemente (A prop\u00f3sito, antes de ser encarcelado, Julian Assange hab\u00eda anunciado que publicar\u00eda informaci\u00f3n discriminatoria sobre uno de los principales bancos de EE. UU. y sobre negligencias en sus actividades).<\/p>\n<p>Aqu\u00ed quiero tocar el punto de vista corporativo. \u00bfQu\u00e9 pasar\u00eda si somos nosotros el pr\u00f3ximo objetivo de WikiLeaks o de su clon? \u00bfC\u00f3mo garantizar la seguridad de nuestra informaci\u00f3n y evitar el da\u00f1o de un incidente tan importante?<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><br \/>\n<div id=\"side-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Un simple ejemplo<\/h2>\n<p>\u00bfPero c\u00f3mo es la seguridad de la informaci\u00f3n en la pr\u00e1ctica? Tomemos un simple ejemplo. Por ejemplo, usted deja con frecuencia su ordenador port\u00e1til en su autom\u00f3vil, sobre el asiento trasero. Es muy probable que, tarde o temprano, se lo roben.<\/p>\n<p>\u00bfQu\u00e9 puede hacer para disminuir ese riesgo? Ante todo, puede crear una regla (redactando un procedimiento o una pol\u00edtica) que establezca que los ordenadores personales no pueden ser dejados en un veh\u00edculo desatendido; o que se debe estacionar el veh\u00edculo en un lugar que tenga alg\u00fan tipo de protecci\u00f3n f\u00edsica. Segundo, puede proteger su informaci\u00f3n configurando una clave segura y encriptando sus datos. Adem\u00e1s, puede exigirles a sus empleados que firmen una declaraci\u00f3n por medio de la cual se hacen legalmente responsables por el da\u00f1o que pueda resultar. Pero ninguna de estas medidas ser\u00e1 efectiva si no les explic\u00f3 las reglas a sus empleados a trav\u00e9s de una breve capacitaci\u00f3n.<\/p>\n<p>\u00bfQu\u00e9 conclusiones puede sacar de este ejemplo? La seguridad de la informaci\u00f3n nunca es una \u00fanica medida de seguridad, siempre abarca varias juntas. Y estas medidas de seguridad no son solamente relacionadas con TI, sino que tambi\u00e9n involucran cuestiones organizativas, gesti\u00f3n de recursos humanos, seguridad f\u00edsica y protecci\u00f3n legal.<\/p>\n<p>El problema es que esto fue s\u00f3lo un ejemplo de un \u00fanico ordenador personal, sin amenazas internas. Ahora piense qu\u00e9 tan complejo es proteger la informaci\u00f3n en su empresa, donde la informaci\u00f3n se archiva no solamente en sus ordenadores sino tambi\u00e9n en diversos servidores; no solamente en los cajones de su escritorio sino en todos sus tel\u00e9fonos m\u00f3viles; no solamente en unidades USB sino tambi\u00e9n en la cabeza de todos los empleados. Y es posible que tenga alg\u00fan empleado descontento.<\/p>\n<p>\u00bfParece una tarea imposible? Dif\u00edcil, s\u00ed. Pero no imposible.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">\u00bfC\u00f3mo encararlo?<\/h2>\n<p>Lo que necesita para resolver este complejo problema es un marco referencial. La buena noticia es que ese marco referencial ya existe bajo la forma de normas. La m\u00e1s divulgada es la <a href=\"https:\/\/advisera.com\/27001academy\/es\/que-es-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>, la principal norma internacional para gesti\u00f3n de seguridad de informaci\u00f3n, pero tambi\u00e9n hay otras: COBIT, serie SP 800 de NIST, PCI DSS, etc.<\/p>\n<p>Me enfocar\u00e9 aqu\u00ed en la norma ISO 27001; pienso que le otorga una buena base para edificar el sistema de seguridad de la informaci\u00f3n porque suministra un cat\u00e1logo de 133 controles de seguridad y ofrece flexibilidad para aplicar solamente aquellos controles que son realmente necesarios en relaci\u00f3n con los riesgos. Pero lo mejor que tiene es que define un marco referencial de gesti\u00f3n para controlar y atender los asuntos de seguridad, logrando, de esta forma, que la gesti\u00f3n de la seguridad sea parte de la gesti\u00f3n general de una organizaci\u00f3n.<\/p>\n<p>Resumiendo, esta norma le permite tomar en cuenta toda la informaci\u00f3n en diversos formatos y todos los riesgos y le ofrece una gu\u00eda para resolver cada problema potencial y para mantener segura su informaci\u00f3n.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Consecuencias para el negocio<\/h2>\n<p>Entonces, \u00bfdeber\u00edan las corporaciones temer que se filtre a la opini\u00f3n p\u00fablica su informaci\u00f3n? Si est\u00e1n haciendo algo ilegal o no \u00e9tico, seguramente que s\u00ed.<\/p>\n<p>Sin embargo, las empresas que trabajan legalmente, si desean proteger su negocio, no pueden pensar \u00fanicamente en t\u00e9rminos de rendimiento de la inversi\u00f3n, participaci\u00f3n de mercado, capacidades principales y visi\u00f3n a largo plazo. Su estrategia tambi\u00e9n debe comprender temas de seguridad ya que tener informaci\u00f3n insegura les puede costar mucho m\u00e1s que, por ejemplo, el lanzamiento fallido de un nuevo producto. Por seguridad no me refiero solamente a seguridad f\u00edsica, simplemente porque ya no es suficiente; la tecnolog\u00eda hace posible que se filtre informaci\u00f3n de diversas formas.<\/p>\n<p>Lo que se necesita es un enfoque integral de seguridad de la informaci\u00f3n; no importa si utiliza la norma ISO 27001, COBIT o alg\u00fan otro marco referencial, siempre y cuando lo haga en forma sistem\u00e1tica. Y no es un esfuerzo de una \u00fanica vez, es un trabajo permanente. Y s\u00ed, no es algo que su gente de TI pueda hacer sola. Es algo en lo que debe participar toda la empresa, comenzando por la junta directiva.<\/p>\n<p><i>Para saber m\u00e1s sobre la seguridad de la informaci\u00f3n, consulte este curso gratuito de formaci\u00f3n en l\u00ednea <\/i><a href=\"https:\/\/advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001 Foundations Course<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>En estos d\u00edas, WikiLeaks se transform\u00f3 en una historia extraordinaria por un buen motivo: no es muy habitual encontrar publicados en Internet documentos confidenciales del gobierno m\u00e1s poderoso del mundo. Y algunos de estos documentos son, para decirlo respetuosamente, embarazosos. No voy a escribir aqu\u00ed sobre si fue legal o no que WikiLeaks publicara esa &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[53],"tags":[1232,1591],"class_list":["post-4762","post","type-post","status-publish","format-standard","hentry","category-blog-es","tag-iso-27001-es","tag-iso-27001-es-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4762","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/comments?post=4762"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/posts\/4762\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/media?parent=4762"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/categories?post=4762"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/es\/wp-json\/wp\/v2\/tags?post=4762"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}