Un enfoque integral para la protección de activos en el entorno actual
El concepto de "convergencia" en la seguridad de la información se refiere a un enfoque holístico e integral que va más allá de la simple protección tecnológica de los activos. Considera factores como la cultura de la organización, la estructura organizativa y los procesos. Tradicionalmente, las actividades de seguridad se segmentaban en funciones separadas o "silos" (como seguridad física, seguridad informática, gestión de riesgos, privacidad y cumplimiento).
Sin embargo, esta separación ha llevado a resultados subóptimos y a brechas en la protección. La convergencia busca integrar estas diversas disciplinas de seguridad con la misión de negocio para generar valor para los accionistas, a través de operaciones uniformes y predecibles, optimizando al mismo tiempo la asignación de recursos de seguridad.
Los altos ejecutivos de seguridad reconocen cada vez más la necesidad de fusionar las áreas de seguridad en toda la empresa a medida que surgen nuevas tecnologías y las amenazas se vuelven más complejas e impredecibles.
El incidente ocurrido en el Sumitomo Mitsui Bank en Londres, Inglaterra, es un claro ejemplo de la necesidad de este enfoque holístico y la convergencia de la seguridad.
A pesar de contar con sólidas medidas de seguridad informática, el banco sufrió un fallo crítico en la seguridad física. Unos atacantes, haciéndose pasar por empleados de limpieza, lograron instalar dispositivos en los teclados de las computadoras (conocidos como "registradores de teclas" o keyloggers) con la intención de robar una gran suma de dinero (£229 millones).
Este incidente refuerza un principio fundamental: por más robustas que sean las defensas tecnológicas (ciberseguridad y seguridad de TI), si la seguridad física es vulnerable, los activos de información siguen estando en riesgo. Los atacantes explotaron una debilidad en el control de acceso físico para comprometer la seguridad de la información digital.
La segmentación de la seguridad en "silos" (física, informática, gestión de riesgos, privacidad, cumplimiento) puede crear vacíos entre las diversas áreas de aseguramiento. Un enfoque convergente ayuda a mitigar estas brechas al evaluar los procesos de negocio de principio a fin, independientemente del proceso de aseguramiento específico.
Las amenazas modernas no distinguen entre seguridad física y digital. Como se vio en el incidente de Sumitomo Mitsui, un ataque puede comenzar en el ámbito físico y luego explotar vulnerabilidades digitales. La convergencia permite una visión unificada del riesgo, identificando y abordando las interdependencias entre las diferentes capas de seguridad.
La información, en cualquier medio (escrita, oral, electrónica), debe contar con una protección adecuada sin importar cómo se maneja, procesa, transporta o almacena. La seguridad de la información adopta esta perspectiva más amplia. Un enfoque convergente garantiza que la protección sea efectiva en todos los frentes, cubriendo tanto la seguridad de TI como la física y otros aspectos de la información.
La convergencia no solo se trata de integración organizacional, sino también de alinear las disciplinas de seguridad con la misión del negocio para generar valor para los accionistas y optimizar la asignación de recursos de seguridad. Un enfoque holístico permite priorizar y distribuir el esfuerzo en áreas con mayor probabilidad de riesgo y mayor impacto y beneficio para el negocio.
Los fallos en la seguridad de la información son principalmente fallos de gobierno y no pueden resolverse únicamente con tecnología. Un gobierno de seguridad de la información efectivo requiere que la seguridad sea tratada y apoyada por los niveles más altos de la organización, integrando todas las funciones de aseguramiento para una seguridad más rentable y sin dejar brechas en la protección.
En resumen, el incidente del Sumitomo Mitsui Bank es un potente recordatorio de que, en un mundo donde la información y las tecnologías están intrínsecamente ligadas a las operaciones de negocio y donde las amenazas son multifacéticas, la seguridad de la información debe ser abordada mediante un enfoque de "convergencia". Esto implica una integración deliberada y holística de la seguridad física, la seguridad de TI y otras funciones de seguridad, abarcando personas, procesos y tecnología, para proteger eficazmente los activos de la organización y asegurar la continuidad del negocio.