¿Por qué es importante saber el valor de la información que se desea proteger?

Elaborado por el profesor: Rodrigo Calvo, Linkedin

El Encargado de Seguridad de la Información (CISO) es muchas veces calificado en la empresa como el Sr./Sra. NO; “No se debe instalar aquel software, no se debe exponer la información, no se puede abrir el acceso a tal sistema”. Lo anterior es natural ya que se le ha contratado para garantizar que todos los procesos y sistemas de información en la empresa buscan minimizar la pérdida de la información ya sea en términos de disponibilidad, confidencialidad o integridad.
A manera de ejercicio, quiero proponer la lectura del siguiente caso, analice que haría usted como CISO, tómese su tiempo y compare con las observaciones que hago al final del artículo. ¿Estaría usted de acuerdo con lo propuesto?

Caso: Entrega a Domicilio de Tarjetas de Crédito

Actualmente los clientes de productos de tarjetas de crédito de la mayoría de instituciones financieras del país tienen la “ventaja” de que es posible ahorrarse varios minutos haciendo fila en una sucursal mediante un servicio de entrega a domicilio de su producto.
Dicha entrega ha variado a lo largo del tiempo: primero el cliente debía entregar una copia en papel de ambas caras de su documento de identificación (incluye nombre completo, fecha de vencimiento del documento, fecha de nacimiento y firma), luego bajo un espíritu ecológico se volvió usual ver al mensajero del banco llegar con una cámara digital y en su mano capturaba dos fotografías de ambas caras del documento. Más recientemente el proceso varió por medio del uso de un Smartphone (muchas veces con Sistema Operativo Android).

La información que se le ha brindado al mensajero puede ser robada físicamente o copiada sin autorización para luego hacer uso ilícito.

cuadro_1

 

 

 

 

 

 

Se puede inferir entonces que alguien que quiera obtener información personal de manera no autorizada, lo puede hacer a través de los documentos que porta el mensajero, para ello tiene varias opciones.
Si pensamos en términos de protección podríamos rápidamente encontrar opciones en el mercado de tecnología tales como:
– Cámaras inteligentes con encripción de memoria.
– Teléfonos inteligentes con aplicaciones compradas a terceros de: encripción, antivirus y almacenamiento seguro en la nube.

cuadro_22

 

 

 

 

A simple vista de acuerdo a la tabla anterior parece que un teléfono inteligente al que se le haya provisto de las aplicaciones necesarias ayudará a minimizar el riesgo de la pérdida de la información que fue recibida por el mensajero. Lo anterior no fue gratis, los costos de hardware, licenciamiento, administración y entrenamiento de recurso humano deberán ser absorbidos por el Banco.

Valoración del Riesgo Real para el caso de estudio

Ya usted analizó el Caso de Estudio y quizás está a favor o bien recomendaría otros niveles de protección, sin embargo, le adelanto que las medidas de protección para esta situación en específico fácilmente van a generar un riesgo residual menor a cero.

cuadro_3

 

 

 

Cuando el Riesgo Residual es menor a cero significa de manera sencilla que siempre será más caro proteger que aceptar el riesgo.

Como CISO del Banco ¿Debo sugerir la protección de la información desde el momento de entrega al mensajero con mayores alcances que lo expuesto anteriormente? Para responder a lo anterior es importante analizar el entorno de algunos de los elementos siguientes: En Costa Rica, por ejemplo, el número de cédula, estado civil, nombre del cónyuge, fecha de matrimonio, nombre de los hijos, fecha de nacimiento, entre otros, se consideran datos de acceso público general. Quizás lo único limitado legalmente del documento es el acceso a la firma impresa en la cédula y los elementos que dan autenticidad a la misma.

Por otra parte, La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (N°8969 del 5 de septiembre del 2011), garantiza a todas las personas el derecho a la privacidad, a la autodeterminación informativa de sus actividades privadas y la libertad respecto a sus datos personales o de sus bienes. Los datos personales a los que se refiere la ley son aquellos que se encuentran en bases de datos públicas y privadas, pero no aplica para las bases de personas físicas o jurídicas cuando los datos: Se usan para fines internos, y No son vendidos ni comercializados. Continuando con el caso de ejemplo, el documento se requiere para verificación interna de la entrega del instrumento de crédito.

Es decir, potencialmente el riesgo que produce el trámite de entrega a domicilio con la copia de la cédula no se traduciría en una pérdida por multas de regulaciones o demandas.

Para finalizar, no siempre las medidas de protección que queremos implementar van de la mano con las necesidades del negocio, pero para llegar a esa conclusión se debe hacer un análisis de riesgo bien hecho.

profesor

Rodrigo Calvo
Master en Administración de Recursos Informáticos.
Profesor Universidad Cenfotec.
Sr. Security Engineer, infoLock Technologies, VA, US.
Certificados:
CISSP, CEH, PCIP, CCSK
ITILv3, MCTS