La mayor parte de las organizaciones dependen de los sistemas automatizados para la obtención de la información necesaria en la toma de decisiones.

A medida que la sociedad se vuelve más dependiente de la tecnología de la información y del procesamiento automatizado de la información, es natural hacer énfasis en la necesidad de proteger las funciones vitales que constituyen un componente clave para la institución susceptible a pérdida, daños o usos indebidos.

La información y los sistemas de información son un recurso muy valioso, por lo que deben ser tratados como un recurso estratégico que requiere ser administrado (tal como el capital, el recurso humano y recursos técnicos), debiendo dárseles la misma atención.

Las consecuencias financieras pueden ser significativas si los sistemas no cuentan con los mecanismos necesarios para conservan su integridad, disponibilidad y confidencialidad en la información.

El tema de la seguridad en sistemas de información cobra gran importancia en nuestros días. Su meta es vigilar y proteger los activos o recursos de la organización así como asegurar la viabilidad de las operaciones en caso de ocurrir algún imprevisto, por medio de la promoción e implementación de medidas de seguridad, controles administrativos y, especialmente, de la actitud de cada uno de los miembros de la organización.

Entre otros, la seguridad de sistemas de información considera aspectos como daño o divulgación de información no autorizada, pérdida de medios físicos, hechos resultantes de errores del operador, errores en el software, errores en los datos, daños a las instalaciones, daños en bases de datos, crimen por computadora ya sea que esté dirigido al software, a los datos o al hardware, documentación de sistemas, comunicaciones, etcétera.

Los recursos informáticos están sujetos a amenazas generadas por los diferentes tipos de riesgos a los que están expuestos, dependiendo de sus componentes y sus propósitos; por lo tanto, es y será necesario implementar controles para prevenir, detectar o corregir los ataques de las amenazas y para disminuir los riesgos.

Es necesario que las organizaciones establezcan controles (elementos técnicos o normativos), en relación con el riesgo al que se encuentran expuestas; la falta de protección de los recursos informáticos y de la información misma es muy peligrosa, pero el exceso de protección de éstos es muy costoso.

Por eso, se debe identificar en dónde podría suceder algo y qué implicaciones originaría para el área o entidad afectada, asimismo, cuánto le costaría a la institución eliminar el riesgo o disminuir la probabilidad de ocurrencia del riesgo detectado.

Sólo así se pueden tomar decisiones en cuanto al establecimiento de las previsiones requeridas o de los riesgos que se asumen. La seguridad de sistemas de información involucra el establecimiento de controles para proporcionar confidencialidad, integridad y disponibilidad de la información, así como ética del recurso humano.

El primer desafío para la seguridad está representado no por la tecnología sino por las personas involucradas, por lo tanto, se requiere de un alto grado de compromiso por parte de las altas direcciones de las organizaciones, para que todos los esfuerzos en este sentido tengan razón de ser.

Un aspecto trascendental en este proceso es contar con una arquitectura de sistemas de información que defina la infraestructura necesaria para evolucionar o mantener la Tecnología de Información (TI) existente, que es el principio para la adquisición de los elementos de TI que logren las metas de la organización del negocio y de la gerencia. La arquitectura es la base sobre la cual es construida la fiabilidad de los sistemas computacionales.
Un modelo de arquitectura contiene los controles utilizados para reforzar diversos niveles de confidencialidad, integridad y disponibilidad.

Tener una arquitectura permitirá una toma de decisiones basada en mayor información, incluyendo una inversión apropiada en tecnologías de red, productos y servicios. Los elementos clave (capas) en donde se concentran los componentes de sistemas de información, son:

• Procesos.
• Aplicaciones.
• Administración de datos.
• Plataforma tecnológica.
• Redes de comunicaciones.
• Centro de datos (lugar donde reside la infraestructura tecnológica).

Las tres primeras se relacionan con el negocio y las últimas con la TI que lo soportan.

Es importante señalar que los procesos de negocio, entre más interrelación tengan con el ser humano, mayor será la tendencia a cometer errores; por lo tanto, la automatización de los procesos manuales de transferencia y procesamiento de información es importante, ya que si no se lleva a cabo de esta forma, existe el riesgo de tratamiento inadecuado de la información y se crea la dependencia del conocimiento del personal para la continuidad de la operación de la organización, y será más susceptible a que la información pierda su atributo de confidencial.

El riesgo asociado al negocio puede ser reducido a uno o más niveles; la reducción de este riesgo debe comprender cuatro elementos de administración de riesgos que tienen impacto en el mismo, los cuales son:

• Estrategia y políticas. Estrategias de las gerencias establecidas para mantener la seguridad de información, así como las políticas relevantes, estándares o directivas usadas para comunicar estas estrategias a la organización.

• Administración de la entrega del servicio. Procesos proactivos que transforman las políticas en acciones, programas de conciencia, administración y control de cambios, administración de la seguridad y otras actividades.

• Monitoreo de eventos. Procesos reactivos que permiten a la gerencia medir la efectividad de la implementación y seguimiento de las políticas, e identificación del momento en que estas políticas requieren cambios.

• Arquitectura y soluciones de tecnología. Las tecnologías requeridas para proveer la protección apropiada y el soporte a procesos críticos.

Los sistemas computacionales, en la actualidad, son un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de ésta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad en dichos sistemas. Esta información puede ser de suma importancia, y no tenerla en el momento preciso puede provocar retrasos muy costosos.

La seguridad de la información, desde un punto de vista más pragmático, abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como la de los edificios e instalaciones que los albergan. Considera las situaciones de incendios, sabotajes, robos, catástrofes naturales, etcétera.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho de manera simple: los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

Con el incremento de ataques a los sistemas computacionales que publican información en la internet o, por ejemplo, que sirven en un proceso de reservaciones en una cadena hotelera, en los últimos años, se han ido originando acciones para mejorar la seguridad informática física y lógica, estableciendo mecanismos para proteger la información residente en estos sistemas; esto ha ocasionado el desarrollo más ágil de productos de seguridad lógica y la utilización de sofisticados medios criptográficos (mecanismos que cifran y descifran información, utilizando técnicas que hacen posible el intercambio de mensajes, de manera que sólo puedan ser leídos por las personas a quienes van dirigidos).

Para que las organizaciones cubran sus necesidades de seguridad de información deben definir los lineamientos de administración de riesgos, identificando los activos críticos del organismo (sistema de reservaciones, cuentas por cobrar a clientes, restaurante, etc.), para determinar sus requerimientos de confidencialidad, integridad y disponibilidad que requiere su negocio. En las organizaciones hoteleras es importante conservar la confidencialidad de información de sus clientes por lo que es recomendable establecer mecanismos de encriptación de información para asegurar que ésta no sea consultada o utilizada para fines diferentes a los que requiere la organización.
Un esquema de seguridad de información debe comprender:

• Elementos administrativos (quién lo hace).
• Definición de una política de seguridad (cómo se regula).
• Organización y división de responsabilidades (cuáles son sus responsabilidades).
• Seguridad física y contra catástrofes (incendios, terremotos, inundaciones, huracanes, etcétera).
• Prácticas de seguridad del personal (línea base para proteger la información).
• Elementos técnicos y procedimientos (procesos de negocio y TI que los soporta).
• Sistemas de seguridad (de equipos y de sistemas, incluidos todos los elementos, tanto redes como terminales.
• Seguridad en las aplicaciones de negocio (en dónde reside la información).
• Planeación de programas de desastre y su prueba (elementos para mantener la continuidad en la organización).

En el tema de Seguridad en las aplicaciones, uno de los elementos importantes a proteger es la información de sus huéspedes, ya que ésta debe considerarse como información confidencial. Por tal motivo, deben establecerse mecanismos de seguridad que ayuden a mantener dicha seguridad; un ejemplo de esto, es establecer mecanismos de control de acceso en la aplicación, con una correcta segregación de funciones, lo que ocasionará que sólo el personal adecuado acceda a la información que requiere para cumplir con sus funciones que le fueron asignadas.

Para este último tema de programas de desastres, aunque la mayoría de las empresas hoteleras cuentan con extensos planes de continuidad, especialmente para sus áreas de tecnología de información y redes de servicios, es necesario que cuenten con planes de continuidad donde se incluye la mayor parte de los departamentos centralizados.

Cada edificio de la organización debe contar con su plan particular, ya que cada edificio cuenta con riesgos ambientales diferentes (por ejemplo: terremotos, marchas, plantones en la Ciudad de México, huracanes en la península de Yucatán, Tsunamis en la costa del Océano Pacífico), aun cuando la mayor parte de la información puede recuperarse desde un punto central. Los planes de recuperación de TI y redes deben ser probados regularmente, incluyendo equipos y planes de recuperación.

Para concluir: en el tema de la seguridad, el elemento más importante es la gente. Sin este elemento muchas de las iniciativas que se tengan en éste y otros rubros no podrían ser implementadas y adoptadas si no existe una cultura y conciencia de la seguridad. Por lo tanto, es recomendable establecer o dar continuidad a un programa de cultura de seguridad en la organización, que abarque aspectos de protección, manejo y uso de información. Este tipo de programas debe contar con la participación activa de la alta dirección para que tenga el éxito deseado.

* Gerente Senior
Deloitte
Consultoría México
Seguridad y Privacidad