Unidad 3: LA SEGURIDAD DE LA INFORMACIÓN

DESDE EL PUNTO DE VISTA DEL NEGOCIO.

En esta Unidad conoceremos la Seguridad de la Información desde el
punto de vista del negocio. El concepto de negocio toca de lleno a
todas las organizaciones. No importa que éstas sean privadas o
públicas, puesto que para cualquier organización, la productividad y la
consecución de objetivos son aspectos básicos y fundamentales.

Como hemos visto a lo largo de las Unidades anteriores, la Seguridad

de la Información tiene diferentes facetas y una de ellas es el negocio.
Esta faceta es muy importante cuando hablamos del sector privado, es
decir, de las empresas. No obstante, en otro tipo de organizaciones,
como son las administraciones, también es un factor muy importante
pero su foco principal no tiene que ver con una cuestión económica,
sino más bien de productividad y rendimiento entendidos como ahorro
de costes y mejores servicios y productos.

La Seguridad de la Información puede ser entendida y aplicada de

forma que constituya una vía excelente para alcanzar un mayor nivel
de eficiencia y productividad, y desde luego, nos va a permitir conocer
y descubrir muchos aspectos relacionados con la seguridad que hasta
ahora no han sido merecedores de la importancia que se merecen.

Objetivos

A lo largo de esta Unidad desarrollaremos los siguientes apartados:

 ¿Qué puede aportar la SI a nuestra

organización? Analizaremos cómo puede ayudarnos la
Seguridad de la Información a conseguir una mejora del
rendimiento y productividad en las organizaciones.
 Responsabilidad y productividad. Veremos cómo nos puede
ayudar la Seguridad de la Información de cara a conseguir un
 mayor nivel de responsabilidad y productividad en las
organizaciones.
 Imagen y competitividad. Expondremos cómo puede
ayudarnos la Seguridad de la Información a mejorar la imagen y
la diferenciación de una organización.
 Contingencias y continuidad de negocio / actividad.
Finalmente, veremos cómo la Seguridad de la Información es
fundamental y debe ser aplicada a cualquier organización para
permitir su supervivencia ante contingencias e incidentes.
 Resumen de la Unidad. Para concluir, haremos un extracto de
las principales ideas tratadas.

1. ¿QUÉ PUEDE APORTAR LA SI A NUESTRA

ORGANIZACIÓN?
La Seguridad de la Información abarca múltiples aspectos de una
organización, no se trata únicamente de cuestiones técnicas, sino
también de aquellas relativas a cuestiones organizativas, de
procedimiento, de políticas, de responsabilidad, etc.

Por otro lado, la Seguridad de la Información no es competencia

exclusiva de los responsables de sistemas de una organización sino
que todos los miembros de una organización tienen parte de
responsabilidad en mantener un adecuado nivel de seguridad.

A lo largo de los siguientes apartados, vamos a conocer cuáles son los

aspectos fundamentales de las organizaciones sobre los que la
Seguridad de la Información nos puede ayudar a mejorar nuestra
organización. Como vamos a ver, son básicamente tres:

 la responsabilidad y la
productividad,
 la imagen y la
competitividad,
 y
la capacidad para superar
contingencias y la continuidad del
negocio

Estos tres grandes grupos engloban la

mayoría de los aspectos relativos a
cualquier organización en los cuales la
Seguridad de la Información nos puede ser de gran ayuda a la hora de
mejorarlos.

 
1.1 Responsabilidad y productividad en la empresa
La responsabilidad y la productividad son aspectos básicos de una
organización que afectan a todos sus miembros, desde el director o
responsable final hasta el último miembro de la organización. La
productividad es un aspecto muy ligado a la responsabilidad de los
trabajadores, es decir, a su nivel de compromiso con su trabajo y con
el aprovechamiento de su tiempo y de los recursos que la
organización pone a su alcance.

Sin embargo, es muy habitual que un trabajador dedique tiempo de su

horario laboral a otras actividades que poco o nada tienen que ver con
el trabajo que debe realizar. Veamos un ejemplo.

Este es un ejemplo típico de cómo en ocasiones los empleados

pueden llegar a hacer un uso inadecuado de las infraestructuras de las
organizaciones. En general, se suele pensar que este tipo de cosas no
hacen daño a la empresa, pero si lo analizamos con más detalle, este
tipo de actividades pueden suponer riesgos para la seguridad.
Sabías que...

7 de cada 10 empleados suelen violar las políticas de seguridad

de su empresa:

"En un informe elaborado a pedido de la firma Cisco, se entrevistó a

2800 personas sobre sus usos y costumbres a la hora de la seguridad
digital. Y pocos cumplen con las reglas de seguridad. El trabajo de
investigación es el "Cisco Connected World Technology Report" y ente
los muchos datos relevados se destacan los siguientes: De aquellos
empleados jóvenes que si son conscientes de las políticas de
seguridad respecto a la tecnología, el 70% (globalmente) admitió
haber roto las políticas de seguridad impuestas con variada
regularidad." (más información)

1.2 Imagen y competitividad

La imagen que proyecta una organización al exterior es uno de los
aspectos que más tratan de mimar y cuidar actualmente todas las
organizaciones. En el caso de las organizaciones del ámbito público,
esta imagen es muy importante, puesto que una buena imagen, tiene
repercusiones en aspectos tan fundamentales como la confianza de
los ciudadanos o cuestiones incluso que pueden llegar al ámbito
político. Para las empresas, una imagen externa poco cuidada puede
significar pérdida de clientes y de negocio.

Pero, independientemente del tipo de organización, su imagen pública

es un aspecto que debe de cuidar y mantener, máxime cuando se
trate de una empresa, puesto que su negocio está en juego.

La imagen que proyectamos al exterior es un elemento que nos

permite diferenciarnos del resto de organizaciones. Aquí entraría en
juego el concepto de competencia y la capacidad que tiene una
organización para conseguir diferenciarse del resto, proyectando una
imagen más sólida y competitiva. Veamos un ejemplo.
Como podemos ver, los problemas provocados por un empleado, la
mala gestión de los recursos y el uso incorrecto de éstos está
provocando muchos problemas a LLÉVAME S.A.

Ha llegado a un punto en el que está perdiendo competitividad y,

desde luego, su imagen se está viendo dañada a causa de los
numerosos retrasos y problemas derivados de su nuevo y mal
utilizado software de gestión de transportes.

1.3 Contingencias y continuidad de negocio

La Seguridad de la Información es una herramienta básica para
superar contingencias y mantener la actividad de una organización.
Seguramente, éste es uno de los aspectos que más preocupan a las
organizaciones, puesto que les afecta directamente al desarrollo de su
actividad.

Si una organización no puede llevar a cabo su actividad, cada hora

que pasa inactiva le ocasiona pérdidas económicas, daño de imagen o
de otro tipo. Si el tiempo de interrupción es grande, puede ocurrir
incluso que la actividad se detenga por completo, con las
consecuencias tan negativas que puede acarrear esto. Veamos un
ejemplo.
El ejemplo ilustra perfectamente un caso en el que una organización
depende en gran medida de una herramienta informática para
desarrollar una de sus actividades o servicios básicos.

Pero las causas por las que una organización puede verse obligada a
detener o reducir su actividad son tantas como activos sean
necesarios para mantener la actividad. Si cualquiera de los activos de
una organización se ve afectado por un incidente de seguridad, esto
puede afectar a la actividad, y por tanto, a la continuidad tanto del
negocio como de la propia organización.

2.RESPONSABILIDAD Y PRODUCTIVIDAD EN LA
EMPRESA
Como hemos visto en los apartados anteriores la responsabilidad y la
productividad son características esenciales de cualquier
organización, muy ligadas ambas con los miembros de una
organización. La Seguridad de la Información nos proporciona una
herramienta básica, con la que podemos mejorar nuestra organización
desde los siguientes puntos de vista: 

 hábitos, buenas prácticas y

responsabilidad
 conciencia corporativa
 medios
e infraestructuras

En los siguientes apartados, vamos a ver

como la aplicación de la Seguridad de la
Información a estos tres puntos de vista nos
van a permitir mejorar enormemente la
seguridad en las organizaciones.
2.1 Hábitos, buenas prácticas y responsabilidad
No siempre es fácil hacer bien nuestro trabajo puesto que esto no
tiene que ver únicamente con la consecución de los objetivos, sino
también, con la forma en la que los conseguimos. En ocasiones, el
entorno es difícil o poco amable, otras veces necesitamos evadirnos y
en otros momentos, por mucho que lo intentemos, no es posible
realizar nuestro trabajo de forma adecuada.

Es fundamental fomentar los buenos hábitos entre todos los

miembros de una organización. Además, es necesario contar
con políticas de seguridad que no son más que un conjunto de
pautas escritas que deben conocer todos los trabajadores sobre qué
se puede y qué no se puede hacer o sobre cómo realizar
determinadas tareas. Asimismo, es interesante elaborar una
pequeña guía de buenas prácticas que conozcan todos los
trabajadores. Finalmente, se debe fomentar la responsabilidad de
todos y cada uno de los empleados.
Para Saber más

Aquí tienes un ejemplo de "Documento de Buenas Prácticas"

publicado por el Instituto Nacional de Tecnologías de la Comunicación.

2.2 Conciencia corporativa

El papel que debe interpretar el responsable tampoco es siempre fácil
de llevar a cabo. En ocasiones, el poder nos hace creer que estamos
por encima de los demás y de las políticas de seguridad o las buenas
prácticas que tratamos de implantar en nuestra empresa. Veamos
algunos ejemplos.
Tan importante como que existan buenas prácticas y que se cumplan
un conjunto de políticas de seguridad es que la propia dirección esté
implicada. Esto significa que todos los miembros de la organización,
empezando por el director, se tomen muy en serio las políticas y
buenas prácticas que se supone deben cumplir todos. Es necesario
dar ejemplo.

ACTIVIDAD

EL PROBLEMA DE LOS EMPLEADOS VIP

Un empleado VIP es aquel que posee más privilegios dentro de la

estructura o jerarquía de la organización, debido a su cargo, o nivel de
responsabilidad.

Es importante aclarar que las buenas prácticas y las políticas de

seguridad hacen referencia a todos los empleados, con independencia
de su categoría o nivel en la escala de la organización, otra cosa es
como se apliquen o en que difieran en función del puesto o del nivel
de responsabilidad.

Uno de los principales problemas de seguridad asociados a los

empleados VIP, es que suelen tener acceso a información confidencial
o sensible, como planes estratégicos, información de productos en
desarrollo, información operativa o diversa documentación interna.
Debido a la información a la que tienen acceso, el incumplimiento de
las políticas de seguridad o de las buenas prácticas, puede suponer
un grave problema de seguridad, que puede derivar en un incidente de
seguridad con gran impacto sobre el negocio.

Por otro lado, es muy importante que la dirección y los responsables

de la organización cumplan y den ejemplo en lo que se refiere al
cumplimiento de las políticas de seguridad y las buenas prácticas, de
forma que el resto de los empleados conozcan la implicación de la
dirección y esto suponga un incentivo para el cumplimiento por parte
de todos.

En los últimos años, la responsabilidad corporativa en la seguridad de

las organizaciones ha cobrado enorme importancia. De hecho, en la
actualidad se suele considerar como un paso fundamental, en la
implantación de seguridad en la organización, conseguir la implicación
de la dirección o gerencia, independientemente del tamaño de la
organización.
Lee el siguiente artículo: 

Los altos directivos deberían implicarse directamente en la ciber-

seguridad

y contesta a las siguiente pregunta: ¿qué recomendaciones

plantearías en tu organización para evitar las incidencias provocadas
por directivos en materia de Seguridad de la Información?

Recuerda contestar en el Foro de actividades de la Unidad.

2.3 Medios e infraestructuras

Podemos disponer de un conjunto de políticas de seguridad muy bien
planteadas, podemos además contar con un documento de buenas
prácticas que todos deben conocer y podemos tener todos muy claro
cuál es nuestra responsabilidad y nuestro deber en el trabajo. Sin
embargo, todo eso no sirve de nada si no contamos con unas
infraestructuras y medios de seguridad mínimos y adecuados. Veamos
unos ejemplos.

Como hemos visto, los malos hábitos, el uso inadecuado de las

infraestructuras, la falta de medios y la falta de apoyo e implicación de
la gerencia de la empresa son problemas que pueden afectar de forma
muy importante a todas las organizaciones. Muchos problemas de
seguridad que se dan en las organizaciones tienen un origen en el
interior de éstas, y muchos de esos problemas de seguridad tienen
que ver precisamente con lo que hemos visto en este apartado.

3. IMAGEN Y COMPETITIVIDAD
Con más frecuencia solemos conocer o escuchar alguna noticia en
relación con un incidente de seguridad que se ha producido en una
 empresa u organización y que
aparece en las portadas de los
periódicos. Cada vez estamos
más acostumbrados a que los
incidentes de seguridad que
afectan a las organizaciones
aparezcan en los diarios o en
los programas de noticias.

Para los usuarios es algo

bueno, puesto que están al
tanto de lo que ocurre y pueden
tomar medidas en caso de que
pudiera afectarles. Pero para las organizaciones que sufren los
incidentes y ven como un incidente se convierte en una noticia, no es
nada bueno, puesto que daña su imagen.

La imagen, como ya hemos comentado, es un aspecto cada vez más

fundamental de las organizaciones que tratan, por todos los medios,
de mantener una imagen fuerte, sólida, competitiva y de gran calidad.
La imagen que quiera proyectar una organización depende de muchos
factores, pero en general, un incidente de seguridad en una
organización puede terminar causando un importante daño de imagen.

La imagen también tiene que ver con la calidad o el nivel de servicio,

es decir, si nuestros servicios son de calidad y somos capaces de
ofrecer garantías, esto también mejorará enormemente nuestra
imagen.

Por ello, en los siguientes apartados vamos a tratar dos conceptos

relacionados con la imagen de las organizaciones y la forma en que
ésta puede resultar dañada. Los indicamos a continuación:

 garantía y nivel de servicio,

 calidad y diferenciación.

En los apartados que siguen vamos a describirlos.

3.1 Garantía y nivel de servicio

Las organizaciones han buscado siempre ofrecer servicios y productos
con garantía. La garantía es un elemento qué cada vez buscan más
los clientes o los usuarios. En el caso de nuestro ayuntamiento, la
garantía parece un concepto que no aplica, pero aún así, queremos
que el ayuntamiento nos ofrezca servicios garantizados o con
garantía.

El concepto de garantía es mucho más claro cuando se trata de una

empresa privada, pero aún así, dependerá del sector, puesto que un
ejemplo de servicios con garantía podrían ser los que ofrece un centro
de salud, y no importa si este es público o privado.

Por otro lado, es muy importante el nivel de servicio. Cuando

contratamos un servicio de telefonía móvil, nos gustaría que el servicio
estuviera disponible todo el tiempo para poder realizar llamadas en
cualquier momento. Si la cobertura es mala o cada poco no
disponemos de cobertura, entonces tenemos un problema de garantía
puesto que es muy posible que al contratar el servicio se nos haya
garantizado un mínimo. Por otro lado, no disponemos del nivel de
servicio que nos gustaría ya que ni siquiera podemos realizar
llamadas. Veamos un ejemplo.
Cuando se trata de garantías y nivel de servicio es fundamental
identificar cuáles son los servicios críticos y cuáles son los niveles de
servicio mínimos que necesitamos para poder realizar nuestra
actividad con normalidad, dentro de unos límites razonables.

Además, es interesante diferenciar entre aquellos servicios que

ofrecemos al exterior de aquellos que son internos o aquellos que nos
proporciona una tercera empresa. Los indicamos a continuación:

 Servicios internos. Es decir, garantías y nivel de servicio a

nivel interno en nuestra organización. Por ejemplo, del servicio
de gestión de almacén que en LLÉVAME S.A. permite a su vez
que puedan cargarse los camiones y conocer el estado de las
existencias que hay en el almacén.
  Servicios externos. Es decir, garantías y nivel de servicio para
aquellos servicios que ofrecemos al exterior. Por ejemplo, el
servicio de transportes de LLÉVAME S.A. Los servicios externos
que ofrece una organización son críticos, puesto que del buen
funcionamiento de estos depende parte de la imagen que damos
a los clientes.
 Servicios de terceros. Este apartado se refiere a aquellos
servicios que nos prestan otras empresas y son fundamentales
para nuestro funcionamiento. Un ejemplo podría ser el servicio
de que nos ofrece un proveedor o los servicios de apoyo a la
gestión económica y tributaría que recibimos de una gestoría o
asesoría.

De cualquier forma, contar con mecanismos, políticas, herramientas y

en definitiva todo aquello que nos permita proporcionar garantías
sobre un servicio o mantener un nivel de mismo, redundarán en la
eficiencia, la productividad, la imagen, etc.

3.2 Calidad y diferenciación

La calidad es una característica que todos deseamos en cualquier
servicio o producto. Cuanta más alta sea, mejor debería ser el
producto o servicio, aunque también estos se verán encarecidos. Lo
fundamental de la calidad es poder ofrecer algo que realmente cumpla
su función con unos niveles mínimos de seguridad, usabilidad,
funcionalidad, accesibilidad, etc. y que, además, sea mejor que lo que
ofrece la competencia, en caso de competir con otras organizaciones.

Por otro lado, la calidad nos aporta diferenciación. De hecho, hoy en

día muchas organizaciones obtienen certificaciones de calidad puesto
que, por un lado, quieren mejorar el funcionamiento interno de su
organización pero, por otro, quieren que se sepa que lo hacen, y que
han obtenido una certificación reconocida que les permite
diferenciarse de la competencia. No basta con decir que somos
mejores, sino que hay que demostrarlo.
La calidad y la diferenciación se pueden conseguir de muchas formas,
pero principalmente haciendo las cosas bien. Si además, podemos
hacerlo en base a una metodología o norma reconocida es posible
que podamos acreditar que efectivamente estamos haciendo las
cosas de forma correcta, lo cual siempre será bueno para cualquier
organización.
4. CONTINGENCIA Y CONTINUIDAD
Una de las facetas más importantes donde la SI es fundamental es
aquella que nos prepara y nos permite superar contingencias o
incidentes que, por un lado, podrían dar lugar a cortes o interrupciones
de la actividad de la organización y que, por otro, podrían incluso
hacerla desaparecer.

La capacidad para superar contingencias es un

aspecto fundamental para cualquier
organización. Muestra de ello son los
acontecimientos de los últimos años como
desastres naturales, incidentes provocados, etc.
que, lamentablemente, son más frecuentes cada
día.

Veamos algunos ejemplos de cómo nos puede ayudar la SI a

mantener nuestra empresa en marcha e incluso ser capaces de
superar un desastre de grandes proporciones:

 capacidad para superar contingencias,

 continuidad de negocio / actividad.

4.1 Capacidad para superar contingencias

Cuando nos preparamos para superar contingencias, queremos
reducir al mínimo las interrupciones de la actividad de nuestra
organización, para de esta forma, continuar siendo productivos o no
permitir que los servicios que ofrecemos se vean afectados. Veamos
algunos ejemplos sobre la capacidad de una organización para
superar contingencias.
Seguramente ya se habrán dado cuenta de varias cuestiones que
están directamente relacionadas con el hecho de que una
organización pueda o no superar contingencias. Por ejemplo, ¿cuándo
podrá venir la empresa de soporte?, ¿en cuánto tiempo me podrán
solucionar el problema y qué consecuencias tendrá para mi
organización?, ¿cuál es la contingencia más grave que puede afectar
a mi actividad y qué necesito para estar preparado ante algo así?, ¿es
mi proveedor de soporte técnico capaz de solucionar el problema?,
¿puede hacer frente al problema mi organización sin ayuda externa?,
etc. Se plantean muchas cuestiones que constituyen una
incertidumbre compleja, pero la SI nos proporciona un camino y una
metodología para poder enfrentarnos a este reto.

4.2 Continuidad de negocio / actividad

No solamente ocurren contingencias o incidentes que se pueden
solucionar de forma relativamente sencilla, también hay otros para los
que no solemos estar tan preparados y que pueden tener
consecuencias mucho más graves. Veamos algunos ejemplos.
Estos ejemplos ilustran algunas de las formas en las que se puede
poner en peligro la continuidad de una organización. Desde luego que
hay muchas más, hasta el punto de que sería imposible describirlas
todas, pero lo fundamental a la hora de afrontar la continuidad de la
actividad es saber a qué tipo de riesgos estamos expuestos, cuáles
son los más importantes, qué impacto pueden causar en nuestra
organización y en cuánto tiempo debemos recuperarnos para que las
consecuencias sean lo menos desastrosas posibles. La SI también
nos puede ayudar a despejar todas estas cuestiones.

5. RESUMEN DE LA UNIDAD
Hemos llegado al final de esta Unidad y hemos visto de forma muy
breve tres facetas sobre las que la SI puede afectar de forma muy
positiva a nuestra actividad o nuestra organización. Podemos resumir
los conceptos vistos en las siguientes ideas:

 La SI aplicada al negocio / actividad tiene tres facetas

principales: responsabilidad y productividad, imagen y
competitividad y contingencias y continuidad de la actividad.
 La responsabilidad y la productividad deben ser una parte
fundamental de cualquier organización. La SI ayuda a
fomentarlas y reduce los riesgos de seguridad derivados de la
falta de éstas.
  La SI promueve los buenos hábitos, las buenas prácticas y las
políticas de seguridad además de fomentar la responsabilidad
entre todos los miembros de una organización.
 La SI es una labor de todos y tiene que existir conciencia e
implicación por parte de todos los miembros de una
organización.
 La SI puede ayudarnos a conseguir una mejor imagen de cara a
nuestros clientes, proveedores y usuarios.
 La SI es capaz de que logremos una diferenciación ante
nuestros competidores, mediante el cumplimiento de normativas
o la aplicación de estándares de seguridad, como los SGSI.
 La capacidad para superar contingencias es una característica
fundamental de las organizaciones para conseguir reducir al
mínimo las interrupciones de la actividad debido a incidentes de
seguridad.
 La continuidad del negocio / actividad se ocupa de la
supervivencia de una organización ante cualquier incidente o
contingencia que pueda poner en peligro su continuidad a corto,
medio o largo plazo.
 En la implantación de planes de contingencia o de continuidad
de negocio es fundamental conocer los riesgos a los que
estamos expuestos y el tiempo de recuperación en caso de
producirse un incidente o contingencia.

Contesta las siguientes preguntas:

Son buenas prácticas dentro de una organización:

No conectarse a redes sociales o mensajería instantánea en el

horario del trabajo.

Usar contraseñas robustas y cambiarlas de forma regular

No conectar dispositivos USB al puesto de trabajo.

Todas las opciones son correctas

Son buenas prácticas dentro de una organización:

No acceder a sitios o contenidos no relacionados con la actividad

laboral.

No descargar aplicaciones o contenidos de sitios dudosos o de

poca confianza.

Utilizar siempre un protocolo seguro HTTPS para la tramitación o el

envío de información sensible o confidencial a través de formularios.

Todas las opciones son correctas