Cuando se trata de hablar de seguridad de la información nos encontramos ante dos tareas relativamente complejas: la primera de ellas es explicar exactamente lo que se entiende por seguridad de la información y la segunda, no menos compleja, es entender cómo afecta esa seguridad a una determinada actividad, en este caso, la logística y la distribución.
Respecto al primer asunto, podríamos definir la seguridad de la información como la “preservación de la confidencialidad, la integridad y la disponibilidad de la información” (según norma ISO 27001).
Por tanto, el trabajo de los que nos dedicamos a esta profesión es identificar las posibles amenazas existentes para, definir el nivel de riesgo y detectar determinadas acciones cuando éstas sobrepasen los límites de seguridad de la organización.
Estamos expuestos a amenazas de índole muy diversa, cuyas características dependen de múltiples factores: nuestro ámbito de actuación, la antigüedad de nuestros sistemas, su grado de apertura, la dependencia de terceros o el tipo de actividad entre otros. En nuestro caso, nos centraremos en amenazas específicas para el sector de la logística y la distribución. Existen otras amenazas habituales que no deben despreciarse, aunque entendemos que son de un interés menor en este caso (infecciones por virus, errores de usuarios, empleados descontentos, hackers…).
Si nos centramos en las amenazas específicas del sector, lo primero que hemos de explicar es que la seguridad es un proceso. Con esto queremos decir que la seguridad no se compra, sino que se gestiona. Se trata de un proceso continuo que hemos de implantar en nuestra organización, al igual que la satisfacción de clientes o el ahorro de energía. Aunque podemos comprar tecnología que nos ayude a conseguir nuestros objetivos (firewalls, antivirus, servidores de respaldo…), si no realizamos los cambios necesarios en el día a día, esos recursos no será suficiente para preservar la confidencialidad, integridad y disponibilidad de nuestra información. Hemos de ver la tecnología como una ayuda necesaria, pero no suficiente para lograr un adecuado nivel de seguridad (no hablamos del cien por cien, puesto que la seguridad absoluta nunca se logra, siempre existen factores de riesgo). Por tanto, dado que el presupuesto siempre es limitado y las amenazas son múltiples, uno de los factores críticos de éxito es diseñar todas las medidas de seguridad alineadas con la estrategia de nuestro negocio. Es aquí donde las características de nuestra organización empiezan a jugar un papel decisivo.
El sector de la logística y la distribución está ampliamente interconectado, y en él las dependencias entre compañías son muy altas -por este motivo, ha sido uno de los sectores donde el intercambio de transacciones utilizando EDI es más utilizado). Da igual quién falle, porque con el fallo de un solo eslabón, al final, se rompe la cadena de suministro -en seguridad también aplicamos el concepto de “la seguridad es una cadena y su fortaleza es la del eslabón más débil de la misma”). Por este motivo, se han desarrollado normas internacionales, como la familia de normas ISO 28000 relacionadas con la seguridad en la cadena de suministro.
Identificar amenazas para la seguridad de la información es un ejercicio que no debe realizarse sólo desde la perspectiva de protección la disponibilidad de esos datos. También es necesario evitar que pueda ser manipulada de forma no autorizada (el concepto de “integridad”) con fines como, por ejemplo, causar trastornos en el nivel de actividad, o pueda ser revelada a agentes no autorizados (“confidencialidad”) con daños tanto para la reputación como para el propio negocio, en forma de revelación de secretos industriales.
En este sentido, tenemos que pensar qué ocurriría si entregamos 10 unidades de producto, en lugar de 100, que era el pedido original del cliente, o considerar las consecuencias que tendría que alguien de la competencia pudiera llegar a conocer los precios que pagamos en origen. Igualmente, sería peligroso que nuestro sistema de información no nos proporcionase el nivel de inventario de nuestras delegaciones, etc., etc.
Por último, cabe destacar que la información no está sólo en nuestros sistemas de información, también se comparte en soporte físico (papel) o incluso a través de la voz (¿estamos seguros siempre de que quien escucha nuestras conversaciones en un restaurante es de confianza?).
En definitiva, las medidas de seguridad a aplicar en nuestra organización son muy diversas y amplias, por lo que debemos priorizar en función de nuestra estrategia de negocio. Una última reflexión: dado que esta gestión de nuestra seguridad es tan compleja, ¿no sería mejor dejarla en mano de expertos? En ocasiones, la subcontratación de estos servicios puede ser no sólo la salida más económica, sino también la más operativa.
Áreas de Actividad
