La Fuga de Información en las empresas un problema a subsanar a base de la concientización del personal

Ing. Eduardo E. Campos Information Security. Aliado Estratégico de Baker Tilly México. La mayor parte de las empresas pierden información valiosa por el extravío de los dispositivos electrónicos y en menor porcentaje por robo. De acuerdo a estudios de mercado, 63% de las empresas públicas y privadas pierden anualmente archivos de información valiosa, pero solo 23% es por robo. De la pérdida de información 57% se debe al extravío de equipos portátiles, como computadoras, celulares, agendas electrónicas, o dispositivos como discos compactos y memorias USB. Las personas en general utilizan sus computadoras portátiles en lugares públicos sin considerar que las actividades que realizan en ellas, pueden estar siendo observadas por alguna persona que no debe tener acceso a dicha información. Tener mecanismos de destrucción controlada de información una vez que los  dispositivos van a reasignarse también es un elemento de protección. Generalmente hablamos que los problemas que se generan en la seguridad informática pasan por el concepto de cultura de seguridad. No obstante, se hace muy poco para lograrla y en muchas ocasiones se ha dicho que la creación de un programa de concientización sobre la importancia de la información y su protección en las organizaciones contribuiría a la sinergia de reforzar el eslabón más débil de la cadena, que el usuario final. Así, un plan de cultura organizacional dirigido a la seguridad informática debe ser completo, esto es que se debe incluir las políticas sobre aspectos de seguridad, reuniones con los grupos objetivos, debe poseer una metodología adecuada, pero sobre todo debe estar apoyada por la alta dirección. Cuando se da vida al programa de cultura, tenemos que entender que este escenario es dinámico y por lo tanto está en construcción permanente, lo que significa que sus definiciones y documentos debemos usarlas todos los días, pues no se trata de elaborar un texto para archivarlo y dejarlo llenar de polvo en un escritorio de la organización. Adicionalmente, se hace necesaria la creación de indicadores que nos permitan medir (lo que no se mide no se puede mejorar) la eficiencia del programa e identificar las variaciones para de esa manera aplicar los correctivos y mejoras necesarios que lleven al funcionamiento optimo del programa. Muy seguramente en el camino nos encontraremos con algunos obstáculos que hay que sortear y que son de carácter general en cualquier organización que quiera implementar un plan de cultura para la seguridad. Algunos de los obstáculos pueden ser: • No reconocer que la seguridad es tarea de todos. 
 • La llegada de una nueva tecnología. • La falta de un seguimiento adecuado al programa. • El no recibir apoyo de la alta dirección. • Los empleados reacios a cambiar paradigmas. Teniendo en cuenta lo antes dicho, debemos encontrar el equilibrio que nos permita definir qué clase de metodología se necesita en nuestras organizaciones. Generalmente las metodologías utilizadas constan de cinco grandes ítems: Análisis, diseño, desarrollo, implementación y una evaluación y mantenimiento. También por supuesto, se hace necesario que las campañas de culturización se hagan de forma completa y no simplemente con carteles que vemos pegados en paredes de la empresa, pero que en realidad por si solos no consiguen nada. Es interesante comprender que por muy robustos sistemas de seguridad que poseamos, no servirían de nada si el eslabón más de débil de la cadena (el usuario) no hace parte fundamental del programa de cultura de seguridad. Es también fundamental poseer una métrica para evaluar el desarrollo de los planes de cultura de seguridad, que permitan precisar si realmente se está cumpliendo o no con los objetivos del programa. Â