Semillas para la seguridad de la información

Textos: Isabella Sánchez Llano / Ilustraciones: Miguel Ángel Ledesma

Política general del sistema de gestión de seguridad de la información

A la hora de proteger tus datos, resulta tan efectivo tener un antivirus actualizado como ubicar la taza del café alejada del computador y de documentos impresos. Los riesgos que comprometen la integridad de la información no sólo están dados por externos como un troyano. Estos vienen también por pequeños descuidos, que pueden tener consecuencias enormes.

 

Comprendiendo la importancia que tiene un adecuado manejo de los datos, la Universidad está diseñando una Política General del Sistema de Gestión de Seguridad de la Información. Ésta tiene como objetivo principal preservar la integridad de toda la información que maneja la Universidad, por eso,  requiere de un compromiso de toda la comunidad universitaria.

De qué se trata

La Política busca complementar la reglamentación existente en la Universidad sobre el manejo de los datos,  es una apuesta para fortalecer la cultura de seguridad de la información en los funcionarios, docentes, estudiantes y terceros.

Información es todo dato que maneja la Universidad en cada proceso para su correcto funcionamiento. Por ejemplo, las notas de un estudiante, la cantidad de aires acondicionados en el campus, la nómina de un departamento, el número de serie del mouse del rector…la cantidad es casi infinita.

Cuidarla implica esfuerzos conjuntos. Para lograr esto, el Sistema General de Seguridad de la Información, SGSI,  se está desarrollando con base en un análisis de riesgos que se realizó en el 2018 en la OITEL, de modo que es éste quién guiará hacia dónde se deben implementar las acciones. Dentro de él, se encuentra un conjunto de controles de seguridad que serán la ficha clave para su implementación.

Estos controles son las semillas de la seguridad de la información, ya que son pequeños hábitos que, una vez adquiridos, marcarán la diferencia en la reducción de las amenazas a la información y por lo tanto los posibles impactos financieros, operativos o legales a los que el mal uso de ésta pueda conllevar.

Por ejemplo, supongamos que alguien pone en la pila de hojas de reciclaje una que se había atascado en la impresora y que tiene la dirección de un estudiante. Y luego, de buena fe, se la brinda a un visitante de la Universidad que no tenía en qué anotar un teléfono. Este descuido puede tener implicaciones legales, ya que esta persona, en nombre de la Universidad, puso en circulación un dato personal violando el marco de protección de datos personales establecido en la ley de 1851 de 2012. El pequeño aleteo de una mariposa sí puede generar un ciclón al otro lado del mundo, o en este caso, en Univalle misma.

Por eso, los controles de seguridad incluyen prácticas para proteger todo tipo de información, como la que se tiene en custodia de no ser puesta en circulación; y la generada por la Universidad de no deteriorarse, extraviarse o modificarse. Son prácticas sencillas como:

  • Bloquear el computador al ausentarse del puesto
  • Recoger de forma oportuna las impresiones de la fotocopiadora
  • Tener el escritorio del computador despejado (previene dejar expuestos documentos sensibles)
  • Tener una copia de respaldo de la información esencial (Ver: Copia de respaldo: la clave de la tranquilidad)
  • Escribir la URL directamente en los portales web (evitará sitios piratas que copien los datos ingresados)
  • Estar atento a posibles correos de phishing  (Ver: ¿Le pidieron el login y la contraseña? Cómo reconocer un correo fraudulento)
  • Eliminar adecuadamente la información (protocolo para formatear un computador, disco duro o memoria)
  • Reportar los incidentes con seguridad de la información, entre otras

Muchas de estas acciones puede que ya sean realizadas por iniciativa propia de algunas personas, sin embargo, al ser incluidas en el Manual de Políticas de Seguridad de la Información se institucionalizarán  y se especificarán para el tipo de información que maneje cada proceso.

Para esto, es clave la división de roles. Ya que las responsabilidades de la seguridad de la información serán definidas para cada persona en el sistema de información que maneje, de acuerdo a su cargo o vínculo con la Universidad.

Jerarquizadas las responsabilidades, se establecerá también un conducto regular al cual acceder cuando haya imprevistos. Ya que el SGSI se nutrirá de ellos para permanecer mejorando.

La Política General del Sistema de Gestión de la Seguridad de la Información busca mantener un nivel de exposición de los datos que responda por la integridad, confidencialidad y disponibilidad de los mismos. Para lograr esto necesitamos que siembres tus semillas.

Comentarios