Máster en Seguridad de la Información Empresarial

Introducción a la Gestión de la Seguridad de la Información

GRUPO 3: Marcos Ruiz Cabo
María Alejandra Núñez González
Darío Patricio Alarcón Acosta

Actividad 2: Análisis de la necesidad de inversión en medidas de

seguridad
Indica dos (2) ejemplos de inversión, en asegurar la información, que consideres que pudieran ser
aceptadas por la Dirección. Explica brevemente porqué.

1. Tal como comenta el Sr. Fernández en la entrevista, una de las inversiones que serían viables y
muy aceptadas por la dirección del Sincrotrón para anticiparse al gran volumen de datos que
prevén que manejarán durante los próximos años, es la de proveer acceso en un alto ancho de
banda del orden de Mb/s e incluso proveer detectores de control de datos y archivos cuyo ancho
de banda llegue a Gb/s en servicios centrales de almacenamiento. Este ancho de banda mejorado,
proporcionaría la posibilidad de manejar, trabajar y controlar de forma eficiente y eficaz toda la
volumetría de datos que maneja el Sincrotrón (que es enorme); lo que les proporcionaría una
mayor anticipación a posibles fallas, fugas o riesgos que puedan sufrir en un futuro.

2. Actualmente el Sincrotrón establece copias de seguridad y archivado de datos en determinados

discos que posteriormente pasan a cintas. Como se comenta, no todos los datos que maneja el
Sincrotrón están en discos, porque su coste es elevado; pero, en este sentido, otra de las opciones
atractivas y viables que deja entrever el Sr. Fernández es la de poder adquirir más cintas para
poder realizar de forma efectiva la gestión del archivado de datos y de copias de seguridad y
poder así incrementar y mantener la redundancia de datos del Sincrotrón. Con esta medida,
evidentemente se incrementaría la seguridad de los datos de toda la entidad.

Otros ejemplos de inversión atractivos y viables: Adquirir la certificación ISO 27001 (ya lo deja entrever
en la entrevista), aumentar el número de auditorias de datos internas, aumentar el número de indicadores
y métricas relacionadas con la gestión de incidencias, volcarse en la tecnología GIRA, entre otras.

Indica dos (2) ejemplos de inversión, en asegurar la información, que consideres que NO pudieran
ser aceptadas por la Dirección de la Organización. Explica brevemente porqué.

Dentro del amplio espectro de medidas de seguridad de la información que podemos encontrar hoy en día
nosotros hemos decidido mencionar dos ejemplos que engloben múltiples prácticas de seguridad de la
información que estamos convencidos que la dirección no aceptaría. Consideramos más esclarecedor
mencionar estos dos grupos de prácticas o reflexiones que no mencionar solo una u otra.

1. Implantación de cualquier medida de seguridad de la información que ponga en peligro, altere,

vulnere, sea insuficiente y/o desproteja cualquier información relacionada con datos de carácter
personal de la entidad. En este sentido, a parte de que estaría incumpliendo una normativa
orgánica estatal española (LOPD), estaría, tanto desprotegiendo la información de la empresa,
como vulnerando los derechos de los usuarios y trabajadores de la organización. En reiteradas
ocasiones el Sr. Fernández menciona la importancia capital de este tipo de datos, por lo que deja
entrever que la dirección no estaría dispuesta a vulnerar o desproteger este tipo de información.
Dentro de este grupo podremos encontrar, por mencionar solo unas pocas, métodos como el uso
de contraseñas poco robustas, protocolos de acceso a los datos débiles, sistemas de redundancia
de datos escasos, entre muchísimas otras medidas aplicables a este tipo de información.

2. Planificación o establecimiento de medidas o actuaciones que no estén englobadas/consideradas

dentro del protocolo de buenas practicas ITIL y/o que no sean reconocidas por el estándar de
calidad ISO 27001 que puedan vulnerar o poner en riesgo la información de la organización. A
lo largo de la entrevista ya se menciona la importancia de seguir y aplicar el estándar “de facto”
de calidad en materia de seguridad de la información (todos los miembros del Sincrotrón están
 Máster en Seguridad de la Información Empresarial
Introducción a la Gestión de la Seguridad de la Información
GRUPO 3: Marcos Ruiz Cabo
María Alejandra Núñez González
Darío Patricio Alarcón Acosta
volcados y de acuerdo en seguir estos protocolos) por lo que estamos plenamente convencidos
de que la dirección de la entidad, bajo ningún concepto, aceptará o invertirá en cualquier medida
o práctica de actuación que no siga las directrices marcadas por estos compendios. Para no hacer
muy extensa la reflexión, no detallaremos que medidas concretas de seguridad serían; pero, por
mencionar solo unas pocas, podríamos citar la implantación de métodos de auditoría ineficaces
con indicadores erróneos, gestión de incidencias mal planificadas, controles de acceso físico que
no cumplan con las directrizes de las normas, etc…

Otros ejemplos no aceptados: Todas aquellas medidas que ya tienen implantadas y consideran que no hay
que reforzar; así como la implantación de aquellas medidas que supongan una inversión desorbitada y no
aseguren una mejora significativa en lo que seguridad de la información se refiere.

En tu opinión, ¿Qué argumentos consideras más importantes para justificar, frente a la dirección,
la necesidad de realizar una determinada inversión en seguridad?

En primer lugar, habría que darles a entender (y concienciarles) que para poder realizar cualquier
proyecto de seguridad de la información es necesario la colaboración, el entendimiento, la planificación y
la transversalidad de intereses de todos y cada uno de los departamentos de la empresa. Aunando
esfuerzos y trabajos colaborativos entre las partes, se asegura el éxito y la potencialidad de cualquier
medida que se pretenda implantar.

Siguiendo esta reflexión/premisa, habría que remarcar ante la dirección y dejarles muy claro que la
inversión en una determinada medida de seguridad no solo va implicar costes y un aumento de procesos
banal, sin reportar ningún beneficio a la misión principal de la entidad, sino todo lo contrario, va a
garantizar directamente la consecución de los objetivos principales de la entidad de forma más eficaz,
eficiente, segura y sobretodo, aportando valor añadido a todos y cada uno de los procesos de la
organización; todo ello, respetando la normativa legal vigente.

Hay que dejarles ver que estas medidas van a asegurar y salvaguardar la información de cualquier tipo
que pueda tener la empresa (tan esencial e importante para cualquier organización) y que, además, tal
como comenta el Sr. Fernández, la implantación de alguna de estas medidas de seguridad pueden
convertirse como elemento disruptivo ante sus competidores, y por ende, aumentará la reputación
institucional de la empresa en su sector; lo que directamente les llevara a crecer como entidad y
maximizar sus beneficios/intereses; que, en definitiva, es la razón de ser de cualquier organización.